Seguridad

Este nuevo ransomware apunta a Windows y Linux de formas sorprendentes

Según BlackBerry y KPMG, el ransomware se dirige a pequeñas y medianas empresas, instituciones educativas y empresas de software, y utiliza Java para cifrar archivos basados ​​en servidores.

Los ciberdelincuentes siempre están buscando nuevos trucos y técnicas para atacar a las víctimas potenciales sin que los atrapen. Esto es especialmente cierto en el caso de los atacantes de ransomware, que necesitan ingresar silenciosamente en la red de una organización para cifrar los archivos confidenciales que planean incautar. Una nueva campaña de ransomware llamada Tycoon está utilizando Java para atacar servidores Windows y Linux.Una informe publicado el jueves El equipo de Investigación e Inteligencia de BlackBerry y el Servicio de Respuesta Cibernética del Reino Unido de KPMG explican cómo ocurrió este ataque.

Tycoon, un ransomware Java multiplataforma diseñado para cifrar archivos en servidores Windows y Linux, ha estado en libertad desde al menos diciembre de 2023.Para evitar la exposición, Tycoon usa un formato de imagen de Java oscuro llamado imagenque almacena la imagen de Java Runtime Environment (JRE) utilizada por Java Virtual Machine (JVM) en tiempo de ejecución.

Específicamente, el ransomware Tycoon viene en forma de archivo ZIP que contiene una compilación de Trojan JRE. Si bien las muestras de ransomware anteriores se escribieron en Java, esta es la primera muestra de ransomware descubierta por BlackBerry y KPMG que abusa del formato JIMAGE de Java para diseñar una compilación JRE maliciosa personalizada.

Mirar: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (República tecnológica)

El ransomware se dirige a pequeñas y medianas empresas, instituciones educativas y empresas de software. La infección inicial se produjo a través de un servidor de salto RDP (Protocolo de escritorio remoto) orientado a Internet, un sistema utilizado para administrar otros dispositivos a través de su propia zona segura. Después de atacar los controladores de dominio y los servidores de archivos, los delincuentes bloquearon el acceso de los administradores de sistemas a sus máquinas.

LEER  Cómo los bancos pueden luchar contra los ataques cibernéticos

El informe utiliza diagramas para describir cada etapa del ataque:

  1. El atacante usa un servidor RDP en la red para conectarse al sistema.
  2. El atacante encuentra un objetivo interesante y obtiene las credenciales del administrador local.
  3. El atacante instala un proceso de «hacker-as-server» y luego desactiva la seguridad antivirus local.
  4. Los atacantes colocan puertas traseras en los sistemas infectados y luego abandonan la red.
  5. Un atacante se conecta a un servidor RDP y lo usa para moverse lateralmente por la red.
  6. El atacante inicia manualmente una conexión RDP a cada servidor.
  7. El atacante ejecuta el proceso de piratería y desactiva la protección de seguridad.
  8. Los atacantes ejecutan un archivo por lotes para iniciar el ransomware.
  9. El atacante sigue los mismos pasos para cada servidor objetivo en la red.
Imagen: Blackberry y KPMG

Los archivos infectados se cifran mediante el algoritmo AES-256 Modo Galois/Contador (GCM) Tiene una etiqueta de autenticación GCM de 16 bytes de longitud para garantizar la integridad de los datos. Al no cifrar partes de archivos más grandes, los atacantes pueden acelerar el proceso y al mismo tiempo inutilizar los archivos.Estos archivos están encriptados usando Algoritmo RSA asimétricoPor lo tanto, descifrarlos requiere la clave privada RSA de 1024 bits del atacante, un proceso que requiere mucha potencia informática.

existir Foro de la computadora Bleeping, una víctima del ransomware liberó una clave RSA privada aparentemente de un descifrador comprado a los atacantes. Esta clave es capaz de descifrar archivos afectados por versiones anteriores del ransomware Tycoon, que agregó la extensión .redrum a los archivos cifrados. Sin embargo, esta clave no funciona con la última versión «happyny3.1» de Tycoon, que agrega las extensiones .grinch y .thanos a los archivos cifrados.

Si bien el magnate ha sido visto en la naturaleza durante unos seis meses, el número de víctimas parece ser limitado. Como tal, la campaña puede estar dirigida solo a una organización específica, o puede ser parte de un ataque más grande que utiliza un tipo diferente de ransomware.

Para protegerse del ransomware, las organizaciones deben protegerse y proteger sus datos antes de que ocurra un ataque. Sin embargo, el proceso requiere más que los métodos de seguridad habituales.

“A medida que la amenaza del ransomware continúa creciendo, la eficiencia de los parches, el software antivirus y la administración simple de terminales ya no son suficientes”, dijo Eric Milam, vicepresidente de inteligencia de amenazas de BlackBerry. «Los equipos de seguridad deben elegir [solutions] Utilizan patrones basados ​​en firmas, análisis de comportamiento y aprendizaje automático, así como sólidos equipos de I+D. Como enfoque proactivo/de higiene cibernética, asegúrese de que todas las copias de seguridad se almacenen fuera del sitio, ya sean soluciones físicas o en la nube, esto puede agregar una capa adicional de seguridad para identificar y evitar el cifrado. «

Sin embargo, en caso de un ataque de ransomware, hay varias formas en que las organizaciones pueden recuperarse de manera más efectiva y rápida.

“Están surgiendo soluciones que permiten a los administradores congelar cuentas una vez que se detecta una infección de ransomware”, dijo Milam. «Por usuario y por archivo infectado, la cuenta se puede revertir a un punto en el tiempo antes de que ocurriera la infección. De esta manera, no se pierden datos ni se paga rescate. La infección simplemente se borra y es como si nunca sucedió. Ya sea ransomware o no, las sólidas prácticas de protección de datos como estas resistirán la prueba del tiempo».

Incluso si sus datos están encriptados por ransomware, tiene ciertas opciones.

«Hay muchos descifradores gratuitos disponibles públicamente que funcionan con algunas familias de ransomware», dijo Milam. «En algunos casos, también es posible recuperar archivos parcialmente usando un software de recuperación de archivos. Si no tiene ningún medio para hacer una copia de seguridad o restaurar sus datos (descifradores/herramientas de recuperación de datos disponibles públicamente), lo más importante es que contrate a alguien que sea acostumbrado a tratar con estos Un experto en la situación. No quieres insultar herido para pagar el rescate y aún así no obtener los datos «.

Finalmente, ¿debería una organización considerar pagar un rescate?

«En principio, la comunidad de seguridad no recomienda pagar a los ciberdelincuentes porque hacerlo justificaría e impulsaría el negocio del ransomware», dijo Milam. «Sin embargo, entendemos que en algunos de los ataques más dirigidos y destructivos (como contra infraestructura crítica o proveedores de atención médica), puede que no haya otra forma de restaurar y proteger la vida humana que cumplir con las demandas de rescate. Como circunstancias y situaciones individuales varían ampliamente, no existe una regla de oro. Sin embargo, en cualquier caso, las víctimas deben cooperar estrechamente con las fuerzas del orden y hacer todo lo posible para ayudar con la investigación”.

istock 684726904
Imagen: iStockphoto/vchal

LEER  Usuarios de Android: Google recopila sus datos de ubicación incluso cuando los servicios de ubicación están desactivados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba