lunes, 15 de junio de 2020

Ransomware Thanos y su técnica RIPlace para evadir AV



     El ransomware Thanos es el primero en usar la técnica de evasión antiransomware RIPlace revelada por un investigador de seguridad, así como otras numerosas características avanzadas que hacen que sea una amenaza a tener en cuenta.

Este ransomware empezó a distribuirse en privado a finales de octubre de 2019, pero no fue hasta enero de 2020 cuando las víctimas buscaban ayuda para descifrar lo que era llamado como Quimera Ransomware en aquel momento. Más adelante, algunos usuarios seguían buscando ayuda en los foros de BleepingComputer para el mismo ransomware, que había cambiado de nombre a Hakbit.

Recorded Future, reveló que este ransomware se llama Thanos y está siendo promocionado como un RaaS (Ransomware as a Service) en foros rusos de crackers desde febrero. Promocionado por un usuario llamado Nosophoros, Thanos está reclutando crackers y distribuidores de malware para distribuir su ransomware. Para que esta oferta sea tentadora, estos reciben una parte de los beneficios, la cual está entre un 60-70% de los pagos de los rescates.

Los afiliados que se unen a este servicio reciben acceso a un creador privado de ransomware que se usa para generar ejecutables personalizados del ransomware. Mientras muchos ransomware escritos en C# no tienen un alto nivel de sofisticación, Thanos tiene muchas características avanzadas que lo hacen muy superior al resto. El creador permite elegir una amplia variedad de características que se pueden incluir en el ejecutable, incluyendo un ladrón de ficheros sin cifrar, distribución automática a otros dispositivos y la inclusión de la técnica de evasión RIPlace.

El año pasado, muchos malware de cifrado han adoptado la táctica del robo de los archivos de la víctima antes de cifrar sus archivos. Luego de esto, amenazan a las víctimas de publicar los ficheros robados en sitios de data leaks si no se paga el rescate.

Básicamente esto se consigue mediante las copias en la nube de las empresas o con el copiado manual de los ficheros a un servidor controlado por el atacante mediante FTP mientras el malware cifra el PC. Además de esto, incluye una característica de distribución automática del ransomware de forma lateral a otros dispositivos de la red.

No hay comentarios:

Publicar un comentario