Este Nuevo Ransomware Evita Las Defensas Del PC, Descubre Cómo Lo Hace |

Este nuevo ransomware evita las defensas del PC, descubre cómo lo hace

2021-12-30 13:44:25 By : Ms. Emily Ma

Los internautas en un mundo cada vez más digital nos enfrentamos a numerosos peligros. Por ese motivo, además de estar protegidos debemos estar bien informados. En ese aspecto los usuarios tenemos que lidiar con virus, troyanos, gusanos informáticos y otro tipo de malware. Los que han adquirido sin duda un gran protagonismo en 2021 son los ataques de Phishing y ransomware. En este artículo vamos a hablar de un nuevo ransomware que con ciertos trucos, elude todas las defensas de tu ordenador, ¿quieres saber cómo lo hace?

Un ataque de ransomware tiene sus fases que terminan con el movimiento lateral y finalmente impacto. Tras el ataque veremos cómo se han cifrado nuestros archivos, perdemos el acceso a ellos y nos van a pedir el pago de un rescate. El protagonista de hoy es AvosLocker un nuevo ransomware que con ciertos trucos simples es capaz de evadir el software de seguridad que tengas instalado en el ordenador.

La firma de seguridad Sophos ha descubierto que tras este ransomware está una banda que surgió este verano y que está buscando socios. Por ejemplo, ya están vendiendo acceso a máquinas ya pirateadas, por lo que puede ser un buen filón para los ciberdelincuentes.

Una de las principales características de AvosLocker es que usa la herramienta de administración de TI remota AnyDesk y la ejecuta en modo seguro de Windows. Esta opción fue utilizada por los grupos de ciberdelincuentes REvil, Snatch y BlackMatter como una forma de deshabilitar la seguridad y las herramientas de administración de TI de un objetivo.

Según Sophos esta forma de actuar se debe a que muchos productos de seguridad para equipos finales no se ejecutan en Modo seguro. Por si no lo sabéis, este modo es una configuración de diagnóstico especial de Windows en la que se deshabilitan la mayor parte de los controladores y software de terceros. En ese momento que están en modo seguro puede hacer que las máquinas protegidas no sean seguras.

Por otra parte, AnyDesk es una herramienta legítima de administración remota. En los últimos tiempos se ha convertido en una alternativa popular a TeamViewer entre los ciberdelincuentes, ya que ofrece la misma funcionalidad. Así, al ejecutar AnyDesk en modo seguro mientras está conectado a la red, permite al cibercriminal mantener el control de las máquinas infectadas. Según Peter Mackenzie, director de respuesta a incidentes en Sophos, aunque este ransomware utilice técnicas de otras bandas, describió el uso de este ransomware como simple, pero muy inteligente. Además añadió que aunque se copiaron algunas técnicas fue la primera vez que se instaló AnyDesk para el comando y control de las máquinas mientras se estaba en modo seguro. Los atacantes de AvosLocker reinician las máquinas en modo seguro para las etapas finales del ataque. Después modifican la configuración de arranque del modo seguro para permitir que AnyDesk se instale y ejecute.

Por último, es posible que los propietarios legítimos no puedan administrar de forma remota esa computadora si está configurada para ejecutar AnyDesk en modo seguro. Eso significa que un administrador va a necesitar acceso físico al ordenador infectado para administrarlo. Esto puede plantear graves problemas para una gran red de computadoras y servidores con Windows.

Sophos ha detectado que AvosLocker ha usado unas técnicas interesantes. Una de ellas es que un componente de Linux apunta a los servidores del hipervisor VMware ESXi, al eliminar cualquier máquina virtual, y después encripta los archivos de la máquina virtual. En este momento Sophos está intentando averiguar cómo los ciberdelincuentes consiguieron las credenciales de administrador necesarias para habilitar ESX Shell o acceder al servidor.

También los atacantes utilizaron la herramienta de administración de TI PDQ Deploy, para mandar varios scripts por lotes de Windows a las máquinas objetivo, incluidos Love.bat, update.bat y lock.bat. Según ha averiguado Sophos, en aproximadamente cinco segundos:

Sophos advierte que este ransomware es un problema complicado de resolver. La razón es porque no solo hay que lidiar con el ransomware en sí, sino que también hay que luchar con cualquier puerta trasera que se haya establecido en la red objetivo.

Por último, hay que señalar los peligros de pagar un rescate de un ransomware ya que no tienes garantía de poder recuperar tus archivos ni que te vuelvan a atacar en poco tiempo.

Protección de envío 100% a tiempo

Tenemos un estricto control de calidad. Cumplir con el estándar de calidad europeo y estadounidense

Protección 100% de la calidad del producto

Este nuevo ransomware evita las defensas del PC, descubre cómo lo hace

Productos Destacados

Noticias & Blog

Asado y desmenuzado por un compañero estelar – Madrid Deep Space Communications Complex

Disparo accidental causa caos y tres lesionados en aeropuerto de Atlanta | El Mundo | DW | 21.11.2021

Delta Air Lines monta su primer sector de TSA PreCheck y entrega de equipaje | Aviacion News

Miembro equipo de seguridad de Boric reconoce trabajo de Carabineros en terreno, aunque “Chile merece una mejor policía”

Fabrica una máquina de rayos X casera después de pagar una factura del hospital de cerca de 70.000 dólares

“Autopsia” de un Berni: disparos de rayos X y luces ultravioletas sobre una obra emblemática - LA NACION

Detectan más de cinco toneladas de marihuana oculta en cargamento de madera | Argentina.gob.ar

Enerjet: Presentan la primera batería para autos con sistema inteligente | CHEKA | PERU21

Famosa, la juguetera líder en España, presenta sus novedades para esta Navidad - Magisnet

Dinac avanza rápidamente con millonaria compra pese a denuncias - Nacionales - ABC Color