Archivo de la etiqueta: robo de información

El malware que roba información con conexiones a Ryuk se dirige a archivos gubernamentales, militares y financieros

Se ha descubierto una nueva familia de malware con una aparente conexión con el famoso ransomware Ryuk, pero en lugar de cifrar archivos, se encontraron atacando archivos dirigidos al gobierno, el ejército y el ámbito financiero. Trend Micro detecta esta amenaza como Ransom.Win32.RYUK.THIABAI y la detecta de forma proactiva como Troj.Win32.TRX.XXPE50FFF031 a través de las capacidades de detección del machine learning  integradas en las soluciones de Trend Micro.

Encontrado y analizado por el investigador de seguridad Vitali Kremez, el malware realiza escaneo recursivo (comprueba repetidamente si los archivos, directorios y subdirectorios se modifican en función de las marcas de tiempo) y busca archivos de Microsoft Word y Excel para robar. El malware también utiliza ciertas cadenas para poner en una lista negra ciertos archivos, incluidos los relacionados con Ryuk, como RyukReadMe.txt, que normalmente contiene la nota de rescate del ransomware, y archivos con la extensión.RYK, que el ransomware añade después de cifrar un archivo. Los investigadores de MalwareHuntingTeam también analizaron un equipo infectado con las mismas rutinas de escaneado y extracción de datos.

[Resumen de seguridad de mitad de año de Trend Micro: El panorama del ransomware en el primer semestre de 2019]

Si el archivo no está en una lista negra, el malware comprueba si se trata de un archivo de Word o Excel válido. A continuación, el archivo se somete a varias comprobaciones antes de ser cargado en un servidor FTP propiedad de un atacante. El archivo se compara con la lista de 77 cadenas del malware, algunas de las cuales incluyen «tank», «defence», «military», «classified», «secret», «clandestine», «undercover» y «federal», entre otras. El malware también busca archivos que tengan estos nombres: «Emma», «Isabella», «James», «Liam», «Logan», «Noah», «Olivia», «Sophia» y «William». Kremez y otros investigadores de seguridad dedujeron que estos nombres son los que figuran en la lista de la Seguridad Social de Estados Unidos como los principales nombres para bebés de 2018.

Los investigadores también observaron las interesantes similitudes del malware con Ryuk. Por un lado, el malware tiene una función que crea un archivo que se agrega con la extensión.RYK, pero que no está habilitado en el malware. También verifica la presencia de un software de seguridad. «Podría indicar que alguien con acceso al código fuente del ransomware Ryuk simplemente copió/pegó y modificó el código para convertirlo en un ladrón o parecerse a él», dijo Kremez a BleepingComputer, quien informó sobre el descubrimiento.

[Trend Micro Research: Una mirada más cercana al ransomware Ryuk]

La reutilización de las amenazas existentes no es nueva, con su accesibilidad en repositorios públicos (ya sea como prueba de concepto o para uso legítimo como pruebas de penetración) y disponibilidad en mercados del underground. La familia de ransomware CrypMIC, por ejemplo, intentó imitar las conocidas notas de rescate e interfaces de usuario del ransomware CryptXXX en sus páginas de pago. Lo mismo podría decirse del ransomware Sodinokibi, que aparentemente se ha apoderado del ransomware-as-a-service (RaaS) Gandcrab. Cuando apareció en los titulares, LockerGoga también parecía tener similitudes con Ryuk.

Sin embargo, esta amenaza aparentemente nueva se destaca por la especialización de sus objetivos, es decir, la información confidencial relacionada con el ejército, la investigación criminal y las finanzas o la banca. Y dado que este malware también puede propagarse a otros sistemas, es importante un enfoque de defensa en profundidad para proteger las infraestructuras online. Por ejemplo, el malware analiza la tabla del protocolo de resolución de direcciones (ARP) del equipo infectado, que almacena las direcciones IP de otros equipos dentro de la red de área local (LAN), lo que permite a los atacantes instalar el malware en otros equipos para robar más archivos.

Según Trend Micro, estas son algunas de las mejores prácticas que las organizaciones pueden adoptar para protegerse contra las amenazas de robo de información:

  • Actualizar y parchear regularmente sistemas, redes y servidores para eliminar vulnerabilidades explotables (o utilice parches virtuales para sistemas o software heredados e integrados).
  • Aplicar el principio de mínimos privilegios deshabilitando o restringiendo el uso de herramientas, software u otros componentes que normalmente están reservados para los administradores del sistema.
  • Fomentar una fuerza de trabajo consciente de la ciberseguridad, especialmente contra las amenazas de ingeniería social que podrían engañar a los empleados para que descarguen e instalen malware.
  • Emplear mecanismos de seguridad adicionales como el control de aplicaciones, que impiden la ejecución de ejecutables sospechosos o desconocidos; así como firewalls y sistemas de detección y prevención de intrusiones que pueden bloquear el tráfico malicioso.

Las soluciones de Trend Micro, como Smart Protection Suites y Worry-Free Business Security, que cuentan con funciones de monitorización del comportamiento, pueden proteger a los usuarios y a las empresas de este tipo de amenazas detectando archivos, secuencias de comandos y mensajes maliciosos, así como bloqueando todas las URL maliciosas relacionadas. La seguridad de Trend Micro XGen™ proporciona una combinación intergeneracional de técnicas de defensa frente a amenazas contra una amplia gama de amenazas para centros de datos, entornos cloud, redes y endpoints. Emplea machine learning de alta fidelidad con otras tecnologías de detección e inteligencia global de amenazas para una protección completa contra el malware avanzado.