Se reactiva campaña del Ransomware Shade

27 Mayo 2019
Crítico

Shade, también conocido como Troldesh, es un ransomware que según informó Palo Alto se detectó por primera vez a finales de 2014 en máquinas Windows y ha sido distribuido a través de spam malicioso (malspam) y kits de explotación. Pese a su antigüedad se han visualizado nuevas campañas de correos electrónicos que utilizan este malware en idioma ruso e inglés. Los principales países afectados son Estados Unidos, Japón, India, Tailandia y Canadá y las principales industrias afectadas son de tecnología, retail y educación.

La infección involucra un archivo .js o .pdf camuflado como boleta o factura que contiene enlaces para descargar el payload de Shade desde los servidores comprometidos. Una vez descargado, Shade/Troldesh encripta todos los archivos de los usuarios con el esquema de cifrado AES-256 y agrega la extensión “.crypted000007”.

Cuando el ransomware infecta una máquina Windows, coloca un fondo de escritorio negro que anuncia que el sistema ha sido cifrado y crea un archivo de texto llamado “readme1.txt” donde explica el procedimiento para el rescate.

De acuerdo con Palo Alto, los resultados de búsqueda entre enero y marzo del 2019 revelan que existen 307 muestras activas de ransomware de Shade y que hay más de 6500 usuarios infectados.

Para este tipo de ataques recomendamos lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam: sus peligros y cómo actúa para engañar a sus víctimas e infectar sus equipos.

- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.

- Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Actualizar los equipos con Windows a las últimas versiones.

- Configurar de manera más estricta el anti spam.

- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.

- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.

- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.

- Tener activado el UAC (control de cuentas de usuario) de Windows.


Tags: #shade #ransomware #windows #pdf #js #troldesh


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.