Kaspersky alerta sobre nuevo ransomware

62 views

Los investigadores de Kaspersky han descubierto a Sodin, un nuevo ransomware que aprovecha una vulnerabilidad de día cero de Windows para obtener privilegios de administrador en el sistema infectado. El ransomware también aprovecha la arquitectura de la Unidad Central de Procesamiento (CPU) para evitar ser detectado, una funcionalidad que no se ve a menudo en este tipo de amenazas.

El ransomware, o el cifrado o bloqueo de datos o dispositivos acompañados de una demanda de dinero, es una ciberamenaza persistente que afecta tanto a individuos como organizaciones de todos los tamaños en todo el mundo. La mayoría de las soluciones de seguridad detectan las versiones comunes y los vectores de ataque establecidos. Sin embargo, métodos complejos como el de Sodin que implican el aprovechamiento de una vulnerabilidad del día cero.

Amenazas de ransomware usualmente requieren algún tipo de interacción con el usuario, como abrir un archivo adjunto en un mensaje de correo electrónico o hacer clic en un enlace malicioso, los atacantes detrás de Sodin no necesitan esa ayuda, ya que tienen acceso a un servidor vulnerable y envian una orden para bajar el archivo malicioso llamado "radm.exe", el cual guarda el ransomware localmente y lo pone en marcha.


La mayoría de los objetivos de Sodin han sido detectados en Asia: el 17,6% de los ataques se han detectado en Taiwán, el 9,8% en Hong Kong y el 8,8% en la República de Corea. Sin embargo, también se han observado ataques en Europa, América y América Latina. Los cibercriminales detrás de este ataque exigen US $ 2.500 equivalentes en Bitcoin de cada muerte.

Según investigadores de Kaspersky, lo que hace que Sodin sea aún más difícil de detectar es el uso de la técnica "Puerta del Cielo". Esta permite que un malware ejecute código de 64 bits a partir de un proceso de 32 bits, lo que no es una práctica común y no suele ocurrir en ransomware.

Los investigadores creen que la técnica de Heaven's Gate se usa en Sodin por dos razones principales:

-Hacer que el análisis del código malicioso sea más difícil, pues no todos los examinadores de código soportan esta técnica y, por lo tanto, no pueden reconocerla.

-Evadir la detección mediante soluciones de seguridad instaladas. Esta técnica se usa para eludir la detección basada en la emulación, un método para descubrir amenazas previamente desconocidas que implica el lanzamiento del código que se comporta de manera sospechosa en un entorno virtual que emula a una computadora real.

Para evitar ser víctimas de ransomware como Sodin, los investigadores de Kaspersky aconsejan a las empresas:

-Asegurarse de que el software utilizado en su empresa se utiliza regularmente a las versiones más recientes. Los productos de seguridad con capacidades de Evaluación de vulnerabilidades y administración de parches pueden ayudar a automatizar estos procesos.

-Utilizar una solución de seguridad robusta, como Kaspersky Endpoint Security for Business, que está equipado con capacidades de detección basadas en el comportamiento para proteger eficazmente contra amenazas y desconocidas, incluidas las vulnerabilidades.

Leave your comments

Post comment as a guest

0
terms and condition.

Comments