El ransomware, lamentablemente, no es un fenómeno nuevo. Se trata, en términos simples, de un software que encripta los archivos de un sistema para pedir un rescate a cambio de una clave desencriptadora. La única forma de enfrentarlo es devolver el sistema a un respaldo (o backup) anterior. Ahí es donde entra ‘ElPaco’.
Como una muestra de que las cosas nunca están tan mal como para que no se puedan poner peor, ‘ElPaco’ no solo encripta los archivos, sino que dirige su ataque a las copias de seguridad.
Según alertó el Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT), esta amenaza es capaz de detener las operaciones del dispositivo, eliminar datos de respaldo y bloquear el acceso a las acciones de recuperación, dejando solo una nota de extorsión con instrucciones para el pago de rescate.
En rigor, ‘ElPaco’ es una variante del ransomware Mimic, si bien más sofisticada en su funcionamiento. Tras su ejecución, implementa una serie de herramientas maliciosas y utilidades legítimas, lo que le permite desactivar las defensas del sistema, cifrar una amplia gama de tipos de archivos y realizar acciones para garantizar la persistencia.
También cifra archivos críticos en unidades locales y de red y apunta a un conjunto específico de extensiones de archivos, mientras excluye otras para evitar dañar archivos esenciales del sistema.
"El ransomware ELPACO asegura su operación continua mediante mecanismos persistentes, modificaciones en el registro y tácticas contra el apagado. Su enfoque específico garantiza que el dispositivo de la víctima siga siendo funcional, facilitando el pago del rescate. Para contrarrestar amenazas tan sofisticadas, las organizaciones deben implementar defensas sólidas que incluyan detección en endpoints, monitoreo avanzado de comportamiento y copias de seguridad regulares para mitigar el impacto de estos ataques". -- Ashley Muñoz, Especialista en Respuesta a Incidentes del GERT de Kaspersky.
El GERT de Kaspersky ha detectado actores de amenazas que utilizan esta variante de Mimic en Estados Unidos, Rusia, Países Bajos, Alemania y Francia. Sin embargo, su presencia va más allá con casos identificados también en Canadá, Rumania, Corea del sur y Reino Unido, entre otros países.
Mimic es un programa muy avanzado que ataca sistemas de Windows. Utiliza una combinación de herramientas maliciosas y programas legítimos para tomar control del equipo afectado.
Comienza con un archivo que se extrae por sí mismo, que contiene varias herramientas, incluyendo una utilidad de búsqueda de archivos que parece inofensiva, pero que en realidad ayuda al malware a encontrar archivos importantes de forma más rápida. Luego, desactiva las protecciones de seguridad del sistema, como Windows Defender, y comienza a cifrar los archivos importantes, tanto en el equipo como en las redes a las que esté conectado.
¿Cómo protegerse?
Para que las empresas puedan protegerse de este tipo de amenazas, los expertos de Kaspersky recomiendan actualizar sistemas operativos, aplicaciones y software de seguridad con parches periódicos para mitigar las vulnerabilidades que frecuentemente explotan las amenazas cibernéticas.
También es recomendable, dice la empresa, capacitar a los empleados para que sean capaces de identificar las tácticas de ingeniería social que buscan engañarlos para que sean ellos quienes ejecuten archivos maliciosos que permiten el acceso a la red de las empresas.
Ver 0 comentarios