Global Preloader
Noticia Internacional
(16/Jun/2017) Nuevo Ransomware sin archivos con capacidad de inyección de código

Nuevo Ransomware sin archivos con capacidad de inyección de código

Los investigadores de seguridad han descubierto recientemente un nuevo ransomware sin archivos, denominado "Sorebrect", que inyecta código malicioso en un proceso legítimo del sistema (svchost.exe) en un sistema específico y luego se autodestruye para evadir la detección.

A diferencia del ransomware tradicional, Sorebrect ha sido diseñado para atacar a los servidores de la empresa y a equipos de usuario. El código inyectado inicia entonces el proceso de cifrado de archivos en la máquina local y los recursos compartidos de red conectados.

Este ransomware sin archivos primero compromete las credenciales de administrador por fuerzar bruta o por otros medios y luego usa la utilidad de línea de comandos Sysinternals PsExec de Microsoft para cifrar archivos.

"PsExec puede permitir a los atacantes ejecutar comandos de forma remota, en lugar de proporcionar y usar toda una sesión de acceso interactivo, o transferir manualmente el malware a una máquina remota, como en los RDPs", dice Trend Micro.

Sorebrect también escanea la red local en búsqueda de otros equipos conectados con archivos abiertos y archivos de bloqueo disponibles en ellos también.

"Si lo compartido se ha creado de tal manera que cualquier persona conectada a ella tiene acceso de lectura y escritura, el archivo también se cifrará", dicen los investigadores.

El desagradable ransomware elimina todos los registros de eventos (usando wevtutil.exe) y las instantáneas (usando vssadmin) en la máquina infectada que podrían proporcionar evidencia forense como archivos ejecutados en el sistema y sus marcas de tiempo, lo que hace que esta amenaza sea difícil de detectar.

Además, Sorebrect utiliza el protocolo de red Tor en un intento de anonimizar su comunicación con su servidor de comando y control (C&C), al igual que casi todos los otros programas maliciosos.

Sorebrect ha sido diseñado para atacar sistemas de diversas industrias, incluyendo fabricación, tecnología y telecomunicaciones. Según Trend Micro, Sorebrect se dirigió inicialmente a países de Oriente Medio como Kuwait y Líbano, pero desde el mes pasado, esta amenaza ha comenzado a infectar a personas en Canadá, China, Croacia, Italia, Japón, México, Rusia, Taiwán y los EE.UU.

"Teniendo en cuenta el impacto potencial y la rentabilidad del rescate, no sería una sorpresa si SOREBRECT se presenta en otras partes del mundo, o incluso en el cibercrimen subterráneo donde se puede vender como un servicio", señalan los investigadores. 

Esta no es la primera vez que los investigadores se han encontrado con un malware que no utiliza archivos. Hace dos meses, los investigadores de Talos descubrieron un ataque DNSMessenger que era completamente sin archivos y utilizaban las capacidades de mensajería DNS TXT para comprometer sistemas.

Dado que el ransomware no ataca a individuos sino a organizaciones, los administradores de sistemas y los profesionales de la seguridad de la información pueden protegerse mediante:

Restringir los permisos de escritura del usuario: un factor significativo que expone los recursos compartidos de red al ransomware al permitir a los usuarios permisos completos.
Limitar el privilegio para PsExec: Limitar PsExec y proporcionar permiso para ejecutarlos sólo a los administradores del sistema.
Mantener actualizado el sistema y la red: mantenga actualizado el sistema operativo, el software y otras aplicaciones.
Copia de seguridad de sus datos con regularidad: Para tener siempre un control estricto de todos sus archivos y documentos importantes, mantenga una buena rutina de copia de seguridad en su lugar que haga sus copias a un dispositivo de almacenamiento externo que no siempre está conectado a su PC.
Adoptar una fuerza de trabajo consciente de la seguridad informática: Educar a sus empleados sobre el malware, los vectores de amenazas y la medida de seguridad siempre juega un papel importante en cualquier organización.