Detectan nuevo ransomware sin archivo con capacidad de inyección de código

Publicado el 26 junio 2017 ¬ 14:53 pmh.mscComentarios desactivados en Detectan nuevo ransomware sin archivo con capacidad de inyección de código

No es un secreto que los ciberatacantes se están volviéndo dramáticamente más eficientes, innovadores y cautelosos cada día que pasa.

Mientras nuevas formas de cibercrimen están en el horizonte, las actividades tradicionales parecen estar cambiando hacia técnicas más clandestinas que contienen vectores de ataque sin límite con bajas tasas de detección.

Investigadores de seguridad descubrieron recientemente un nuevo ransomware sin archivo, apodado “Sorebrect”, el cual inyecta código malicioso en procesos legítimos (svchost.exe) en el sistema objetivo y después se autodestruye para evadir la detección.

Diferente al ransomware tradicional, Sorebrect fue diseñado para atacar los servidores y equipos del usuario final. El código inyectado inicia el proceso de cifrado de archivos en un equipo local y las redes conectadas compartidas.

Este ransomware sin archivo primero compromete las credenciales de administrador mediante fuerza bruta o algún otro medio y entonces emplea la utilidad de la línea de comandos Sysinternals PsExec de Microsoft para cifrar los archivos.

“PsExec puede permitir a los atacantes la ejecución remota de comandos, en lugar de proporcionar y emplear una sesión de autenticación interactiva completa, como con RDPs”, indicó Trend Micro.

Sorebrect también cifra las redes compartidas

Soberect también escanea las redes locales para encontrar otros equipos conectados con apertura para compartir y además bloquea los archivos.

“Si la opción de compartir ha establecido que cualquiera conectado tiene acceso de lectura y escritura, el recurso compartido también será cifrado”, indicaron los investigadores.

Entonces el peligroso malware borra todos los event logs (empleando webtutil.exe) y shadow copy (empleando vssadmin) en el equipo infectado, que pueden proporcionar evidencia forense, así como los archivos ejecutados en el sistema y su marca de tiempo, lo que hace difícil detectar esta amenaza.

Adicionalmente, Sorebrect emplea el protocolo de red de Tor en un intento de hacer anónima su comunicación con su servidor de mando y control, como casi cualquier otro malware.

Ransomware Sorebrect propagado en el mundo

Los archivos del malware Sorebrect fueron diseñados para afectar sistemas de varias industrias incluyendo la manufacturera, tecnológica y de telecomunicaciones.

De acuerdo con Trend Micro, Sorebrect atacó inicialmente en países del Medio Oriente como Kuwait y Líbano, pero el mes pasado esta amenaza comenzó a infectar equipos en Canadá, China, Croacia, Italia, Japón, México, Rusia, Taiwan y los Estados Unidos de América.

“Dado el potencial de impacto y rentabilidad, no es una sorpresa si Sorebrect aparece en otras partes del mundo o incluso en el mundo bajo de los cibercriminales donde puede ser difundido como un servicio” apuntaron los investigadores.

No es la primera vez que los investigadores han encontrado malware sin archivos. Hace 2 meses, los investigadores de Talos descubrieron que el ataque DNSMessenger era completamente sin archivos y usaba las capacidades de un mensaje DNS TXT para comprometer los sistemas.

En febrero, los investigadores de Kaspersky también descubrieron malware sin archivos que reside solamente en la memoria de los equipos comprometidos, encontrándose que su objetivo son bancos, compañías de telecomunicaciones y organizaciones gubernamentales en 40 países.

Formas de protegerse contra los ataques de ransomware

Dado que el ransomware no ataca solo a individuos si no también a organizaciones, los administradores y profesionales de seguridad de la información pueden protegerse a sí mismos mediante:

Restricción de permisos de escritura: un factor importante que expone lo que se comparte en la red al ransomware, al dar a los usuarios todos los privilegios.

Limitar privilegios para PsExec: limitar PsExec y proporcionar permisos para ejecutarlo solo por los administradores del sistema.

Mantener el sistema y red actualizados: siempre mantener el sistema operativo, software y otras aplicaciones actualizados.

Respaldar regularmente: para siempre contar con el control de archivos y documentos importantes, tener en mente una buena rutina de respaldo que realice las copias en un dispositivo externo de almacenamiento que no siempre esté conectado a su PC.

Adoptar conciencia de la ciberseguridad laboral: educar a los empleados sobre el malware, vectores de ataque y medidas de seguridad, que juegan un papel importante en cualquier organización.

Ver información original al respecto en Fuente:
https://www.seguridad.unam.mx/detectan-nuevo-ransomware-sin-archivo

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies