vxCrypter: El primer ransomware que elimina archivos duplicados

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

El vxCrypter Ransomware podría ser la primera infección de ransomware que no solo cifra los datos de una víctima, sino que también ordena su computadora al eliminar archivos duplicados.

Cuando se probó por primera vez el ransomware, se eliminaron todos los archivos de una carpeta, excepto uno.

Como este ransomware aún estaba en desarrollo, se asumió que esto era solo un error en la rutina de cifrado.

Sin embargo, se ha confirmado que esta eliminación de archivos fue intencional ya que el ransomware eliminaba archivos duplicados.

Este fue el primer ransomware que los investigadores vieron que realizó este comportamiento.

El ransomware es un ejemplo perfecto de cómo un operador no calificado puede causar enormes cantidades de daño a una organización, todo en un esfuerzo por monetizar sus esfuerzos criminales.

La buena noticia es que, dado que el ransomware es una familia de malware establecida, existe una gran cantidad de inteligencia de amenazas disponible para identificarla y combatirla.

Los archivos involucrados, las ubicaciones en el punto final en el que se escriben esos archivos, el correo electrónico o el sitio web utilizado para entregar la carga útil malintencionada, el servidor que utiliza para comando y control, todos son típicamente infraestructura reutilizada.

Esto significa que, si una organización está utilizando de forma proactiva la inteligencia de amenazas, puede detener un ataque como este antes de que comience, incluso si sus herramientas de seguridad convencionales no lo logran.

l malware sigue creciendo en sofisticación y las nuevas formas de ransomware son particularmente mortales para la mayoría de los negocios.

SamSam, un ransomware de infección personalizado, se ha utilizado en ataques dirigidos que se remontan a 2016 y ha causado estragos en redes de ciudades de Georgia, Indiana y Colorado.

También ha ido aumentando el costo de su rescate. Se propaga mediante una serie de explotaciones o tácticas de fuerza bruta.

En 2018, SamSam se mejoró para explotar vulnerabilidades en los protocolos de escritorio remoto (RDP), servidores web Java o servidores FTP para obtener acceso a la red de víctimas.

También se agregó la capacidad de realizar ataques de fuerza bruta contra contraseñas débiles.

Dado el enfoque de SamSam en las ciudades, el ransomware de Albany parece ser SamSam o una de sus variantes.

Para combatir mejor el malware, las organizaciones empresariales han mejorado sus procesos de capacitación y seguridad en materia de concientización con el monitoreo en tiempo real, las copias de seguridad, los agentes de seguridad en la nube, la seguridad del correo electrónico, las contraseñas seguras y la administración de derechos para proteger sus datos.

Esto garantiza que el ransomware se pueda abordar en tiempo real o casi en tiempo real, de modo que los datos no puedan ser robados durante un ataque cibernético o un intento de comprometer los datos por parte de los ladrones cibernéticos que manejan ransomware.

El cifrado y la administración de derechos son necesarios para estar seguros de que un ataque de ransomware no ha comprometido los datos regulados como lo requieren los requisitos reglamentarios de HIPAA, PCI, GDPR, etc.

El progreso para abordar estas amenazas ha estado bien, pero los atacantes aún se mueven más rápido que los defensores en este juego del gato y el ratón.

Los centros de operaciones de seguridad empresarial (SOC, por sus siglas en inglés) ahora suelen presupuestar un software específico de detección y remediación de ransomware.

Este software protege contra los vectores de ataque de ransomware más comunes, pero, por supuesto, no resolverá de inmediato la rápida evolución de los avances de ransomware, especialmente con AI.

Una vez más, las organizaciones pequeñas y medianas son más vulnerables y están mal equipadas para hacer frente a los ataques de ransomware patrocinados por el crimen del país o organizados por el Estado.

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris