viernes, 13 de diciembre de 2019

Nueva técnica de los ransomware que evita los antivirus


     El equipo de Sophos advirtió sobre un peligroso truco de los ransomware, cifrar los datos después de reiniciar los equipos con Windows en modo seguro.

Implementado recientemente por el ransomware Snatch es efectivo contra gran parte del software de seguridad de endpoint, que a menudo no se carga cuando el modo seguro está en funcionamiento.

Todo ello a pesar del hecho de que en los ataques del mundo real analizados por MTR, Snatch comienza como muchas otras campañas de ransomware que actualmente apuntan a redes empresariales. Los atacantes buscan puertos RDP débilmente protegidos para abrirse paso en los servidores de Azure, un punto de apoyo que usan para moverse lateralmente a los controladores de dominios de Windows, a menudo pasando semanas reuniendo información.

Su enfoque es cargar un servicio de Windows llamado SuperBackupMan que no se puede detener o pausar, lo que agrega una clave de registro que garantiza que el destino se iniciará en modo seguro después de su próximo reinicio.

Solo después de que esto haya sucedido, y la máquina haya entrado en modo seguro, ejecuta una rutina que elimina las instantáneas de volumen de Windows, después de lo cual cifra todos los documentos que detecta en el destino.

Usar el modo seguro para evitar la seguridad tiene sus ventajas y desventajas. Lo bueno es que, en muchos casos, funciona: el software de seguridad que no espera esta técnica es fácilmente omitido. Lo complicado es que aún debe ejecutar su falso servicio de Windows, que se basa en irrumpir controladores de dominio para distribuirlo a los objetivos dentro de la red. Reiniciar en modo seguro tampoco superará el inicio de sesión de Windows, lo que en teoría le da a un usuario alertado la posibilidad de detener el cifrado.

No hay comentarios:

Publicar un comentario