Cabecera-v2-web.jpg

¡Cuidado! Ransomware capaz de reiniciar las PC en modo seguro para evitar ser detectado


Ransomware, una de las amenazas más peligrosas y tan presente en los últimos tiempos, este software malicioso o malware tiene como objetivo impedir al usuario acceder a su sistema o a sus archivos personales, y exige el pago de un rescate para volver a tener acceso a ellos. La infección se puede dar de varias maneras, pero la más común es a través de correos electrónicos, el cual contiene archivos o enlaces maliciosos.

¿Qué pasó?

Investigadores han descubierto una nueva variante de ransomware, el Snatch, fue detectado por primera vez en el año 2018, pero en los recientes ataques han incluido una mejora que nunca ha sido vista hasta ahora: reiniciar el sistema operativo en modo seguro.

El modo seguro de Windows tiene la particularidad de arrancar el sistema operativo con los servicios y controladores mínimos, dejando de lado la ejecución de programas de terceros, como por ejemplo el antivirus, esto permite que Snatch pueda saltarse cualquier medida de protección instalada en el equipo. Este novedoso ransomware se vale de las Claves de Registros de Windows, donde programa un servicio llamado SuperBackupMan que permite iniciar el sistema en modo seguro y comenzar el proceso de cifrado.

Una vez que el sistema inicia, pero esta vez ya en modo seguro, el malware utiliza el componente net[.]exe de Windows para detener el servicio SuperBackupMan y luego utiliza el componente vssadmin.exe de Windows para eliminar todas las instantáneas de volumen en el sistema (copias de seguridad que pudieran existir), esto impide la recuperación forense de los archivos cifrados por el ransomware.

Si bien Snatch está escrito en el lenguaje de programación GO , que es un lenguaje multiplataforma, el ransomware sólo afecta a plataformas Windows desde la versión 7 hasta la 10, tanto en arquitecturas de 32 como en 64 bits.

Mientras que otras variantes de ransomware tienen como único objetivo el cifrado de los archivos personales y pedir rescate dicen los investigadores haber encontrado evidencias de que este ransomware también participa del robo de información, esto lo vuelve altamente peligroso ya que los archivos personales de las víctimas pueden ser filtrados en línea, incluso si pagaron el rescate.

Mientras que otras variantes de ransomware tienen como único objetivo el cifrado de los archivos personales y pedir rescate dicen los investigadores haber encontrado evidencias de que este ransomware también participa del robo de información, esto lo vuelve altamente peligroso ya que los archivos personales de las víctimas pueden ser filtrados en línea, incluso si pagaron el rescate.

Recomendaciones:

  • No publicar los servicios críticos y puertos hacia Internet, en caso de ser necesario la publicación de los servicios y/o puertos se debe limitar el acceso a IPs ya conocidas.
  • No abrir correo electrónicos de remitentes desconocidos.
  • Contar siempre con una copia de seguridad actualizada, es la mejor forma de evitar pérdida de información, teniendo en cuenta que esa copia de seguridad debe estar por fuera de nuestro equipo, como por ejemplo en un disco cifrado extraíble/portable.


Referencias:







pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11