Una nueva versión del malware Sarwent puede abrir el puerto de Protocolo de Escritorio Remoto (RDP) en los equipos Windows de destino para asegurarse de que los delincuentes puedan volver al sistema a través de la puerta trasera.
Se desconoce si ese acceso es utilizado posteriormente por los mismos delincuentes o vendido a bandas de ransomware o grupos de espionaje cibernético, pero los usuarios afectados deben saber que eliminar el malware no cierra esa «puerta trasera»en particular.
Las nuevas capacidades de Sarwent
Sarwent es una pieza de malware que comenzó como un cargador para otro malware, pero recientemente se ha actualizado con dos nuevas funcionalidades, descubrieron investigadores de SentinelOne.
Estas variantes nunca pueden ahora también:
- Ejecutar comandos a través del símbolo del sistema de Windows y PowerShell
- Crear una nueva cuenta de usuario de Windows, habilitarla para el servicio RDP y realizar cambios en el firewall de Windows para permitir el acceso RDP al equipo infectado
Eliminar el malware del equipo infectado no cerrará automáticamente el «agujero»RDP. Los usuarios, administradores o «limpiadores» pagados también tienen que eliminar la cuenta de usuario configurada por el malware y cerrar el puerto de acceso RDP en el firewall.
Acceso RDP: Una mercancía caliente
Obtener acceso a máquinas Windows a través del Protocolo de Escritorio Remoto se ha convertido en una táctica preferida de los ciberdelincuentes y las bandas de ransomware, aunque generalmente buscan máquinas/servidores que ya tengan habilitado RDP y luego intentan forzar brutalmente las contraseñas que salvaguardan el acceso a través de él.
Desde que la COVID-19 se extendió por todo el mundo y muchos empleados comenzaron a trabajar desde casa, el uso de RDP se ha disparado.
Los ladrones que manejan Sarwent quieren aumentar las posibilidades de retener el acceso a la máquina después de que se encuentre y elimine el malware.
Puede ser que quieran usar ese acceso ellos mismos, para reinfectar el equipo en una fecha posterior. También es posible que planten para alquilar o vender ese acceso a otras pandillas o individuos cibernéticos.
El acceso a redes y sistemas corporativos se vende regularmente en foros y mercados de la web oscura.