Para cualquier área de TI el estar al tanto de las nuevas variantes de Ransomware es una de las tareas más importantes de sus actividades diarias. El reconocido Ransomware se renueva día con día y conocer sus nuevas variantes es vital para diseñar las estrategias de seguridad de cualquier empresa. Pero, ¿cuáles son las nuevas familias y cómo pueden impactarme?
En este artículo vamos a revisar un resumen rápido de las actualizaciones y cuatro nuevas familias de este malware avanzado “Ransomware” descubiertas dentro de las últimas semanas por tecnología de Trend Micro.
1. Cute Ransomware (detectado por Trend Micro como Ransom_CRYPCUTE.A)
"Mi-Little-ransomware" Este se encuentra basado en un código fuente localizado en GitHub de manera pública, es el modulo base de CuteRansomware.
¿Qué utiliza? Utiliza Google Docs para transmitir las llaves de cifrado y recoger información de los usuarios. No se limita a la plataforma en la nube de Google y se puede transferir a través de otras aplicaciones.
Nivel Crítico. Utiliza cada vez más la nube para la entrega de malware y datos a través de command and control y las herramientas tradicionales no tienen visibilidad de estos.
2. Alfa ransomware (detectado por Trend Micro como Ransom_ALFA.A)
Alfa Ransomware explora todas las unidades locales y hasta 142 tipos de archivos diferentes para su cifrado. Se dice que fue desarrollado por el mismo grupo detrás Cerber Ransomware,
¿Qué utiliza? Una vez cifrada la información, Alfa añade una extensión de archivo “.bin”.
Método de distribución desconocido. Sin embargo, en los últimos tiempos, su cifrado no puede ser roto por Decrypters de terceros.
3. CTB Faker (detectado por Trend Micro como Ransom_ZIPTB.A)
¿Quién dice que ransomware tiene que ser sofisticado para trabajar?
Como el nombre lo dice, CTB Faker pretende ser CTB ransomware Locker, pero en lugar del cifrado de los archivos en el sistema infectado, CTB Locker los mueve en un archivo ZIP protegido por contraseña y exige un rescate de .08 bitcoins (alrededor de US $ 50) a cambio de la contraseña.
¿Qué utiliza? CTB Faker, que en realidad es un archivo WinRAR SFX, utiliza archivos ZIP para su infección. Una vez que el usuario extrae el contenido de los archivos zip y ejecuta el CTB Faker inicia su rutina de archivado.
Método de distribución páginas con perfiles en sitios para adultos que contienen las contraseñas y los enlaces a un supuesto vídeo de striptease protegido por contraseña. Tan pronto como el usuario hace clic en el enlace en el perfil, el ransomware descarga el archivo zip alojado en JottaCloud.
4. Ranscam
Considerado de tecnología baja pero altamente destructiva, Ranscam amenaza con borrar archivos de la víctima a menos que se pague el rescate, pero en lugar de realizar el cifrado de los archivos como un ransomware regular, los borra de todos modos.
¿Qué utiliza? Estrategia de chantaje, amenaza con eliminar los archivos sin embargo la víctima pierde los archivos incluso si el rescate está pagado.
Nivel Crítico. De acuerdo con diversos informes, un usuario comprometido observa una nota de rescate mostrada por el malware, la cual pretende indicar que los archivos del usuario fueron movidos a una "partición oculta o cifrada" en vez de dejar los archivos cifrados en su ubicación actual. Es toda una mentira ya que Ranscam ha eliminado todos los archivos por completo.
¿Qué puedo hacer para minimizar el riesgo de ser atacado?
Estas cuatro variantes de ransomware: Cute Ransomware, Alfa Ransomware, CTB Faker y Ranscam no se conocen de manera amplia o completa, pero pueden ser perjudiciales e incluso destructivas, especialmente Ranscam.
Sin importar el tipo de familia de ransomware o variante, te recomiendo aplicar las siguientes buenasprácticas.
- Evita abrir correos electrónicos no verificados y dar clic en enlaces dentro de los mismos
- Actualiza regularmente el software y las aplicaciones
- Realiza de manera regular una copia de seguridad de archivos
- Arma una plática o correo informativo de concientización a tus usuarios
Estas recomendaciones te pueden ayudar a reducir el riesgo de contraer alguna infección y pueden mitigar los efectos de la pérdida de información si ya tuviste algún impacto por ransomware.
En Smartekh creamos una guía con 10 tips básicos para prevenir ataques de ransomware, para prevenir ataques de ransomware, descarga tu copia y utilízala como un checklist. Con esto lograrás minimizar al máximo la superficie de riesgo.
Espero te funcionen estas buenas prácticas y si tienes dudas o necesitas información adicional, escríbeme y las revisamos con gusto.