Cifrado de ficheros con WinRAR: Nuevo ransomware aprovecha las protecciones.

En los últimos años el  grupo “Memento Team” se ha hecho famoso por su nueva forma de “ransomware”, que utiliza “WinRAR” para cifrar los archivos y eliminar los originales. 

Según los especialistas de “Sophos Labs”, se han detectado una variante escrita en Python 3.9 que se salta las defensas contra ransomware cifrando los ficheros con una versión “freeware” de WinRAR, protegiendo el contenido con una contraseña y eliminando los originales.

Asimismo, desde “informáticos a domicilio”, se sostiene que este tipo de malware se instala a través de “PyInstaller”, y está dirigido a equipos Windows. Para ello, se aprovecha una vulnerabilidad crítica detectada en VMWare y se emplean herramientas adicionales como “wmiexec” para acceder a una shell remota, “secretsdump” para obtener credenciales y “Plink” SSH para crear túneles. 

Por otro lado, se hace uso de “Nmap” y “Npcap” para escanear y capturar el tráfico de red y “Mimikatz” para robar credenciales. Además de ello, “informáticos a domicilio” ha detectado que existe un fichero batch y una tarea programada para conseguir persistencia.

SANA

Por tal motivo, una vez cifrado el contenido, se deja un archivo “Hello Message.txt” con instrucciones para desencriptar los ficheros y la cantidad de rescate asciende a 15,95 BTC (931.212$ aproximadamente). Los atacantes indican un número de teléfono de Telegram y una dirección de “ProtonMail” para el pago.

No obstante, para las empresas es importante contar con una política de copias de seguridad de todos los archivos, además de mantener el software actualizado para evitar estos ataques dirigidos. Para ello, “Hispasec” pone a disposición el servicio SANA, que alerta de vulnerabilidades conocidas en el software para poner remedio a ellas. 

Copia de Seguridad.

En definitiva, contar con una copia de seguridad y actualizar el software son medidas básicas para prevenir estos ataques es la solución más confiable de todas.

(S.M.C)