Cabecera-v2-web.jpg

Defray, nuevo ransomware que comienza a distribuirse en Internet


Los ransomwares continúan imparables. Son la amenaza de moda, y esto es algo que no se puede discutir. Los daños que provocan son importantes y si hablamos a nivel de administraciones públicas o empresas las pérdidas pueden ser incalculables si no se posee una copia de seguridad. Los expertos en seguridad han localizado una nueva amenaza que se está distribuyendo en Internet, conocida con el nombre de Defray.

Varias compañí­as han alertado de esta nueva amenaza que por el momento parece muy selectiva, o al menos en su etapa inicial. Por el momento se está centrando en afectar a instituciones y empresas importantes, aunque el número de paí­ses en los que se ha distribuido en un primer momento es bastante alto, o al menos comparado con otras.

Los expertos en seguridad han confirmado que Defray se está distribuyendo a través de documentos de Microsoft Word adjuntados en correos electrónicos. Los ciberdelincuentes indican a las ví­ctimas que en el interior se podrán encontrar detalles de una factura pendiente o bien información sobre un requerimiento judicial. Al abrir el archivo, lo que se solicita en un primer momento es la activación de las macros. Obviamente, la amenaza no está contenido en el fichero, sino que se producirá su descarga si la macro logra ejecutarse.

Para ser más precisos, en lo que se refiere a su distribución, los propietarios realizaron una primera tentativa el pasado dí­a 15, aunque su distribución fue escasa, siendo la realmente válida la iniciada el pasado dí­a 25.

Los expertos en seguridad han tenido tiempo de analizar la amenaza, llegando a la conclusión de que su servidor de control se encuentra en defrayable-listings[.]000webhostapp[.]com.

Diferentes ví­as de difusión para Defray

Para ser más exactos, estamos hablando de que además de hacer uso de los mensajes de correo electrónico, el ransomware que nos ocupa también se distribuye ayudándose se scripts Powershell. En un artí­culo ya indicamos que la seguridad en lo que se refiere a la ejecución de este tipo de software es bastante deficiente. Esto quiere decir que muchas herramientas de seguridad no son capaces de detectar y detener a tiempo los scripts. En este caso las consecuencias serí­an fatales, ya que se producirí­a el cifrado de la información albergada en el disco duro del equipo infectado.

Una vez instalado dispondrí­a de control total sobre el equipo si fuese necesario

O al menos serí­a capaz de realizar un amplio catálogo de tareas. Si el ciberdelincuente lo requiriese, serí­a capaz de listar las aplicaciones que se encuentran ejecución, recopilar información sobre los usuarios existentes en el sistema, listar los archivos y carpetas del sistema o realizar el cierre de determinadas aplicaciones de seguridad, aunque expertos en seguridad han constatado que no siempre se ejecuta esta función de forma correcta.

Por defecto, el ransomware Defray no inicia el cifrado del sistema de ficheros, sino que espera recibir una orden para que esto suceda, una filosofí­a que contrasta y mucho con lo visto hasta el momento. Esto quiere decir que nuestro equipo podrí­a estar infectado y no ser conscientes de ellos, sobre todo si para ellos nos valemos en comprobar si los archivos han sido cifrados o no.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11