La actualización a REvil ransomware cambia las contraseñas de Windows para automatizar el cifrado de archivos a través del modo seguro


El ransomware cambia la contraseña del dispositivo a «DTrump4ever» y obliga al dispositivo a iniciar sesión automáticamente después de reiniciarlo.

Computadora portátil con el sistema bloqueado por ransomware

Imagen: iStockphoto / Kritchanut

Los piratas informáticos detrás del ransomware REvil han lanzado una versión actualizada del malware que les permite cambiar las contraseñas de Home windows y automatizar el cifrado de archivos a través del Modo seguro, según un informe reciente de Bleeping Laptop or computer. El investigador R3MRUN también publicó un desglose detallado del método de ataque en su cuenta de Twitter, destacando que los atacantes ahora pueden usar la línea de comandos «smode» para poner un dispositivo en modo seguro, lo que les permite ejecutar el cifrado de los archivos en un dispositivo.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

El ransomware cambia la contraseña del dispositivo a «DTrump4ever» y obliga al dispositivo a iniciar sesión automáticamente después de reiniciarlo.

Bryan Embrey, director de marketing de productos de Zentry Protection, explicó que REvil utiliza tres vectores de ataque principales para penetrar en una crimson: correos electrónicos de phishing con archivos adjuntos maliciosos, vulnerabilidades del Protocolo de escritorio remoto y vulnerabilidades de computer software.

«Los ataques de contraseña de fuerza bruta se utilizan normalmente con RDP simplemente porque la gente tiende a utilizar contraseñas simples que son más fáciles de recordar. Una vez en una purple, REvil se mueve lateralmente para implementar ransomware en todos los recursos para lograr el máximo efecto», dijo Embrey.

Los expertos en ciberseguridad dijeron que los cambios destacaron cómo el grupo REvil y otros continúan actualizando y cambiando sus tácticas de ransomware a medida que las empresas intentan prevenir ataques.

«REvil ha estado evolucionando sus tácticas desde febrero de 2020, agregando ataques DDoS a su arsenal, llamadas en frío a las víctimas y ahora reiniciando las máquinas en modo seguro. La nueva actualización de REvil de cambiar las contraseñas de los usuarios e iniciar sesión automáticamente en un dispositivo víctima difiere de la necesidad anterior de una víctima para iniciar sesión en su dispositivo después de reiniciar en modo seguro «, dijo Jamie Hart, analista de inteligencia de amenazas cibernéticas en Digital Shadows.

«La actualización destaca el esfuerzo del grupo por permanecer oculto y decrease el riesgo de señales de alerta durante el cifrado. En 2019, el grupo de ransomware Snatch agregó la capacidad de cifrar un dispositivo en modo seguro es realmente posible que REvil esté implementando tácticas que han sido exitoso para otros grupos de ransomware «.

Hart agregó que algunas de las estrategias de mitigación para los ataques de ransomware incluyen parches y actualizaciones consistentes, contraseñas más sólidas, capacitación frequent en conciencia de seguridad, así como el método 3-2-1, que implica almacenar sus datos en dos ubicaciones de almacenamiento y un proveedor de almacenamiento en la nube.

Las organizaciones que temen un ataque de ransomware también deben implementar y practicar de manera consistente un system de respuesta a eventos que pueda ayudar a la continuidad del negocio en un escenario exitoso de ataque de ransomware.

Las personas detrás de REvil lanzaron recientemente un ataque devastador contra el conglomerado mundial de computadoras portátiles Acer, exigiendo un rescate récord de 50 millones de dólares.

Roger Grimes, evangelista de la defensa basada en datos en KnowBe4, dijo que las tácticas que ahora united states REvil son muy comunes en el mundo del malware.

«Si permite que cualquier programa de malware o pirata informático ejecute comandos en el contexto de &#39administrador&#39, siempre se terminará el juego. Siempre se terminará el juego. La única defensa segura es detener la ejecución inicial del malware», dijo Grimes.

Según el director de seguridad de software program de GRIMM, Adam Nichols, la actualización le da al malware nuevas y poderosas capacidades para evadir las protecciones.

«El ciberdelito es un negocio y todo el mundo debería pensar en él de esa forma».
Niamh Muldoon, responsable world de protección de datos en OneLogin

Una posible solución sugerida por Nichols es hacer una copia de seguridad de los archivos en una memoria USB externa y quitarla de la computadora cuando no esté en uso para garantizar que siempre haya una copia de los datos disponible.

El uso de máquinas virtuales también puede ayudar a limitar el daño de numerosos ataques, incluido REvil, explicó Nichols, y agregó que el uso de una máquina digital para navegar y almacenar archivos importantes fuera de esa máquina digital evitará la pérdida de datos y evitará que los delincuentes obtengan sus datos en el caso de que la máquina virtual esté infectada con REvil u otro ransomware.

Pero la última actualización del ransomware REvil hace que la resolución de problemas y la reparación sean bastante difíciles después del hecho, dijo Veridium CRO Rajiv Pimplaskar en un correo electrónico.

«En normal, prevenir es mucho más fácil que curar en tales casos. Es por eso que las organizaciones y los usuarios finales deben acelerar la adopción de tecnologías sin contraseña y utilizar métodos de autenticación no basados ​​en credenciales como &#39teléfono como token&#39 o FIDO2», dijo Pimplaskar. .

«Esto mitiga tanto las posibilidades de una infección de ransomware en primer lugar, que puede ocurrir por el uso de computadoras domésticas infectadas, como también ayuda a eliminar la posibilidad de obtener y usar credenciales robadas contra usuarios finales y organizaciones incluso después del hecho. Los datos muestran que ha habido un aumento del 72% en los ataques de ransomware durante el año pasado, lo que puede estar directamente relacionado con el mayor uso de computadoras domésticas para realizar trabajos remotos debido a la pandemia de COVID19 «.

Jerome Becquart, director de operaciones de Axiad, se hizo eco de esos comentarios y destacó que no importa qué tan seguras sean las contraseñas de sus usuarios, tener cualquier autenticación basada en contraseñas puede dejarlo expuesto a ataques de ransomware.

«El ciberdelito es un negocio, y todos deberían pensarlo de esa manera. Al cifrar los archivos de las víctimas y solicitar un pago financiero, el ransomware como REvil tiene uno de los retornos directos de inversión más altos», dijo Niamh Muldoon, oficial de protección de datos international de OneLogin.

«Teniendo en cuenta el entorno económico mundial y las condiciones actuales del mercado, los ciberdelincuentes, por supuesto, seguirán centrándose en sus esfuerzos en esta corriente generadora de ingresos. Durante 2021, también es probable que veamos a individuos y grupos de ciberdelincuentes asociarse para intentar y maximizar su retorno de la inversión. Esto podría incluir dirigirse a personas de alto valor y / o grandes organizaciones empresariales «.

Ver también





Enlace a la noticia unique