El nuevo ransomware híbrido apunta a las copias de seguridad
KnowBe4 advirtió a las empresas que presten atención a las nuevas alertas del FBI y Microsoft, advirtiendo sobre ataques de ransomware dirigidos híbridos que intentan cifrar toda la red de una organización. Los hackers criminales han subido la apuesta. Están cambiando su enfoque y penetran en una red, eliminan todas las copias de seguridad, infectan todas las máquinas clave con ransomware y luego exigen el pago. El último método utiliza una cepa de ransomware poco conocida llamada «Samas», descubierta por primera vez en 2014. Según informes de investigación de Microsoft, la mayoría de las infecciones hasta ahora se han detectado en América del Norte, con algunos casos en Europa.
El CEO de KnowBe4, Stu Sjouwerman, dijo: “Todavía no está claro si el ataque actual comienza con correos electrónicos de phishing que infectan una sola estación de trabajo con ransomware y luego instala un troyano que permite a los piratas informáticos ingresar a la red, o si la red se penetra primero y luego se infectado con ransomware. Es muy posible que se utilicen ambos vectores de ataque.
Microsoft publicó su análisis técnico de Samas en TechNet con una descripción general detallada que señala que primero se inicia un análisis de ataque, en busca de vulnerabilidades, y luego se implementa el malware utilizando la herramienta PSEXEC.
El FBI escribió el primera alerta (PDF) 18 de febrero de 2016 y Microsoft publicó su análisis el 17 de marzo de 2016. IntelSecurity también publicado un PDF con más detalles sobre este ataque híbrido. El FBI lo llama una «campaña agresiva» que inicialmente se enfocó en aplicaciones JBOSS vulnerables que permitían a los piratas informáticos ingresar y luego infectar la red.
Intel dijo: “Durante las últimas semanas, hemos recibido información sobre una nueva campaña de ataques de ransomware dirigidos. En lugar del modus operandi normal (ataques de phishing o descargas no autorizadas que conducen a la ejecución automática de ransomware), los atacantes obtuvieron acceso persistente a la red de la víctima a través de la explotación de vulnerabilidades y extendieron su acceso a cualquier sistema conectado que pudieran. En cada sistema se utilizaron varias herramientas para buscar, cifrar y eliminar los archivos originales, así como las copias de seguridad.
Estas herramientas incluían utilidades de Microsoft Sysinternals y partes de proyectos de código abierto. Después del cifrado de los archivos, aparece una nota de rescate, exigiendo un pago en Bitcoins para recuperar los archivos. Al separar funciones particulares del binario de ransomware, al ejecutar ciertas acciones utilizando herramientas y scripts gratuitos disponibles, los adversarios intentaron evitar la detección tanto como fuera posible. Esto es diferente a la mayoría de los casos de ransomware que se propagan siempre que es posible.
Sjouwerman comentó: «Parece que los ataques de ransomware dirigidos efectivamente han llegado y seguirán existiendo por un tiempo».
KnowBe4 ofreció consejos sobre prevención y mitigación:
1. Mantenga todas las aplicaciones de software actualizadas y parcheadas
2. Utilice contraseñas seguras
3. Deshabilite la carga de macros en programas de Office a través de la configuración de la directiva de grupo descrita en un KnowBe4 anterior. correo
4. Implemente una política sólida de respaldo y recuperación, como la regla 3-2-1 (3 copias, 2 medios diferentes, 1 fuera del sitio).
5. KnowBe4 ofrece un Manual de rescate de rehenes de ransomware con información procesable para prevenir infecciones y qué hacer cuando es atacado con ransomware.