Se ha detectado una nueva variante de ransomware que puede evadir la detección cifrándose.
Los investigadores de seguridad cibernética de la firma de soluciones de asesoría financiera y riesgo Kroll descubrieron recientemente una variante del ransomware conocido como Cactus.
Además de la operación habitual (cifrar archivos y dejar una nota de rescate), el malware también tiene una forma única de evitar ser detectado por programas antivirus y soluciones de seguridad de punto final.
Difícil de detectar
Según lo informado por BleepingEquipo, el ransomware tiene tres modos principales de ejecución, uno de los cuales es el cifrado. Una vez que se implementa la carga útil, los atacantes proporcionarían al malware una clave AES única que solo ellos conocen. Esta clave se usa para descifrar el archivo de configuración del ransomware y la clave RSA pública que necesitan para cifrar todo lo demás en el punto final de destino. La clave viene como una cadena HEX codificada en el binario del cifrador.
Al decodificar la cadena HEX, los atacantes obtienen datos encriptados que pueden leer si tienen la clave AES.
“CACTUS esencialmente se encripta a sí mismo, lo que dificulta su detección y lo ayuda a evadir las herramientas antivirus y de monitoreo de red”, dijo a Bleeping Computer Laurie Iacono, directora general asociada de riesgo cibernético en Kroll.
Lo que también hace que Cactus sea interesante es que tiene múltiples modos de encriptación, incluido un modo rápido. Si los operadores deciden ejecutar ambos modos uno tras otro, los archivos se cifrarán dos veces y obtendrán dos extensiones de archivo.
Se sabe muy poco sobre la operación del ransomware Cactus. No sabemos si alguna empresa está siendo atacada actualmente o si está negociando un pago. Aunque no está confirmado, algunos informes afirman que el grupo pide «millones» cuando exige pagos. Tampoco sabemos qué tan exitoso fue el grupo en el pasado.
Como de costumbre, la mejor manera de protegerse contra el ransomware es parchear el software y el hardware regularmente, configurar soluciones de ciberseguridad y capacitar a su fuerza laboral sobre los peligros del phishing y los ataques de ingeniería social.
Vía: BleepingComputer (se abre en una pestaña nueva)