CIBERSEGURIDAD

Informe de Guru: SentinelOne sobre ransomware

0 84 2 minutos de lectura


News from SentinelOne ha anunciado hoy una nueva variación del CryptXXX Ransomware, que han registrado hasta ahora ganando más de $ 50,000 en pagos de Bitcoin para sus defensores.
Al igual que con otras variedades populares de ransomware que han ido mejorando con cada iteración, el nuevo CryptXXX es irrompible con las herramientas de descifrado y ya ha demostrado ser muy exitoso para forzar el pago de rescates. Se han corregido los defectos de cifrado de las versiones anteriores, y el malware ahora es mejor para evadir la detección del antivirus.
Nos sentamos con Caleb Fenton, investigador sénior de seguridad en SentinelOne, para conocer los detalles de esta nueva campaña y su opinión sobre cómo las organizaciones pueden prepararse adecuadamente para situaciones en las que este ransomware llega a sus archivos.
ITSG: ¿En qué se diferencia esta variante de CryptXXX del ransomware anterior?
CF: Las versiones anteriores cifraron los archivos de forma incorrecta, de modo que las herramientas podrían eliminar el cifrado, pero esta nueva versión utiliza un cifrado más sólido que puede hacer que sea imposible descifrar los archivos. Se realizaron otros cambios para evitar la detección de AV. Estructuralmente, movieron el código lo suficiente para que las firmas AV anteriores se volvieran inútiles.
ITSG: ¿Cuál es el método más común de implementación de este ransomware?
CF: Se propaga a través del spam, aunque posiblemente por otros canales. Adquirimos binarios de varias fuentes, como foros clandestinos de malware, y dado que estamos monitoreando activamente esta familia, detectamos una muestra que era similar pero no idéntica a las versiones anteriores.
ITSG: ¿Ha llegado el ransomware para quedarse o llegará el día en que será desterrado a la historia?
CF: Sí, por la sencilla razón de que los ataques de ransomware son extremadamente exitosos hoy en día y son relativamente fáciles de lanzar. No requiere mucha sofisticación por parte del atacante, solo acceso a las herramientas correctas que se pueden comprar en línea o suscribirse en un entorno RaaS.
ITSG: ¿Qué deberán hacer las organizaciones para combatir esta variante de CryptXXX?
CF: La respuesta reactiva es mantener una estrategia de respaldo disciplinada y tener una estrategia interna sobre cómo obtendrá acceso a BitCoins en un corto período de tiempo. La respuesta proactiva es dejar de depender de las tecnologías de detección basadas en estática. Esta versión de CryptXXX está diseñada de manera muy específica para aprovechar esas debilidades. Es mejor buscar tecnologías que utilicen una detección más dinámica basada en el comportamiento.
ITSG: Todos sabemos que no deberíamos pagar, pero ¿qué pasa si lo hacemos?
CF: Usted recupera sus datos, pero en el proceso está incentivando a una ‘industria’ a invertir más en nuevas variantes. Para detener este aumento en los ataques de ransomware, debemos hacer que el costo de lanzar un ataque sea prohibitivo. Esto, a su vez, eliminará las ganancias de la industria. Si no hay ganancias, la inversión debería disminuir significativamente.
Así que ahí lo tiene: parece que el ransomware no va a ninguna parte rápidamente, así que haga una copia de seguridad y no permita que su empresa aparezca en las noticias por las razones equivocadas.
Caleb Fenton es investigador sénior de seguridad en SentinelOne.

Publicaciones relacionadas

Synack, empresa de hackers a sueldo, recauda 21 millones de dólares

Carteras de criptomonedas MetaMask robadas a través de anuncios de Google

Investigadores identifican 36 tecnologías que facilitan las operaciones en línea de grupos yihadistas radicales

Más de la mitad de las organizaciones europeas han sufrido consecuencias causadas por al menos un ciberataque en los últimos dos años.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar