Ransomware Dharma ahora simula ser un antivirus

10 Mayo 2019
Crítico

Investigadores de Trend Micro descubrieron que el grupo de ciberdelincuentes detrás del ransomware Dharma (también llamado CrySIS), que opera hace 3 años, encontró una nueva táctica para infectar a sus víctimas: se hace pasar por un software de antivirus, para cifrar archivos de los sistemas Windows. Todos los archivos cifrados del disco duro quedan con la extensión ETH.

El ransomware llega a través de correos electrónicos de malspam, que simulan ser de Microsoft y advierten sobre un supuesto riesgo y daño en Windows. El e-mail contiene un enlace de descarga que incita a la víctima a ingresar, para actualizar su antivirus.

Una vez que Dharma logra ingresar a los sistemas, descarga su payload y una versión del antivirus ESET. Cuando se ejecuta el archivo autoextraíble, llamado Defender.exe, el ransomware comienza a cifrar los archivos, al mismo tiempo que solicita al usuario seguir las instrucciones para instalar ESET AV. Una vez completada la instalación, la víctima ve una nota que exige un pago en bitcoins para recuperar los archivos. Para contactar al atacante, la nota también entrega el e-mail Enigma1crypt@aol.com.

El ransomware se ejecuta en segundo plano incluso si el usuario no instala el antivirus, pues ésto último es ocupado por los ciberdelincuentes sólo para distraer a la víctima y para que no piense que está ocurriendo una actividad maliciosa detrás.

Se recomienda lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam: sus peligros y cómo actúa para engañar a sus víctimas e infectar sus equipos.

- Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Actualizar los equipos con Windows y Office a las últimas versiones.

- Configurar de manera más estricta el anti spam.

- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.

- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.

- Tener activado el UAC (control de cuentas de usuario) de Windows.


Tags: #ransomware #dharma #crysis #eset #esetav #antivirus #malspam #windows


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.