05/07/2017 18:30:00ESET reveló que los creadores del ransomware no pretenden obtener dinero, sino que causar daño y corromper la información. Los expertos de seguridad de la empresa atribuyen el ataque al grupo "TeleBots" que opera desde 2016.La compañía líder en detección de amenazas de virus, ESET, logró identificar cómo se propagó el último ransomware de alcance mundial. Además de descifrar ataque del año pasado que están vinculados al grupo denominado "TeleBots", dedicados a afectar sistemas informáticos de Ucrania. En ese sentido, indicaron que "TeleBots" continúa con los ataques este año de una manera mucho más sofisticada. Entre enero y marzo de este año afectaron a una compañía de software de Ucrania, y usando sus túneles VPN consiguieron el acceso a las redes internas de múltiples instituciones financieras. Ahora en junio estalló el ataque con mayor repercusión en Ucrania e incluso América Latina, encabezado por el malware que los productos de la compañía ESET detectan como Diskcoder.C, también conocido como ExPetr, PetrWrap, Petya o NotPetya. Los informes dan cuenta que es una operación altamente planificada y ejecutada con precisión. ¿Cómo funciona? el malware se hace pasar por un típico ransomware, donde cifra los archivos y demanda US$300 como rescate. Pero ESET reveló que la verdadera intención de sus autores es causar daño y corromper la información más que obtener el dinero, por lo que hicieron todo lo posible para hacer el descifrado de los archivos muy poco probable. El ataque inicia con la inyección de un backdoor (un tipo de troyano que permite el acceso al sistema infectado y su control remoto) en un software contable legítimo ucraniano llamado M.E.Doc. Con esto los atacantes lograron iniciar la propagación del malware DiskCoder.C. Camilo Gutierrez, jefe de Laboratorio de ESET de América Latina, recomendó que todas las empresas que tengan relación con compañías afectadas en Ucrania y Europa y que usen el software M.E.Doc, deben cambiar las contraseñas de proxies y cuentas de correo electrónico a todos los usuarios de dicho software. Agregó que según los informes, los atacantes tuvieron acceso al código fuente de la aplicación M.E.Doc. "Tuvieron tiempo de conocer el código e incorporarle un backdoor bien sigiloso y astuto, que evita ser detectado fácilmente", precisó Gutierrez. ¿Cuáles son las características de este ransomware?. 1- Cifrado: no solo cifra los archivos con una extensión determinada, sino que además intenta cifrar, generalmente con éxito, el MBR (Master Boot Record), que es el registro principal de arranque. 2- Propagación: tiene la propiedad de un gusano. Puede propagarse a través de diferentes técnicas por la red logrando infectar nuevos equipos. 3- Exploits: hace uso de ellos para explotar vulnerabilidades en equipos que no han sido actualizados o no se les han instalado los parches correspondientes. Esto es algo de lo que se estuvo hablando mucho desde la aparición de WannaCryptor.
No hay comentarios:
Publicar un comentario