Ransomware STOP instala malware Azorult

11 Marzo 2019
Crítico

El investigador Michael Gillespie descubrió una nueva variante del ransomware STOP, que además de cifrar los archivos de sus víctimas, instala Azorult en el equipo, un malware que roba credenciales bancarias almacenadas en navegadores, carpetas de criptomonedas, archivos de escritorio, credenciales de Steam e historial del navegador, entre otros. El atacante carga la información obtenida en un servidor remoto.

STOP suele actuar a través de distribuciones falsas de software, que incluyen mostrar una pantalla maliciosa de Windows Update, deshabilitar Windows Defender, bloquear el acceso a sitios de seguridad y agregar entradas al archivo HOSTS de Windows.

Una vez que los archivos están encriptados, aparecen con la extensión .promorad y crea notas de rescate llamadas readme.txt. Luego descarga y ejecuta un archivo llamado 5.exe, que crea un tráfico de red C&C con el servidor, para que Azorult robe información.

Otras extensiones que han sido utilizadas por STOP son: .blower, .djvu, .infowait, .promok, .promorad2, .promos, .promoz, .puma, .rumba y .tro.

 

Se recomienda lo siguiente:

- Para víctimas infectadas: cambiar de inmediato todas las contraseñas que utilicen en línea, especialmente las guardadas en los navegadores. También aquellas de Skype, Steam, Telegram y FTP Clients.

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Contar con un antivirus actualizado.

- Mantener una buena estrategia de respaldo de información.

- Bloquear todas las IoC basadas en la URL e IP en el firewall, IDS, puertas de enlace web, routers u otros dispositivos basados en el perímetro.

- Asegurarse de que el equipo de SOC monitoree la actividad del ransomware y la actividad anormal de las ejecuciones de Powershell.

- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.


Tags: #stop #ransom #azorult #malware #windows #windowsupdate #promorad


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.