Shade, también conocido como Troldesh, es un ransomware que según informó Palo Alto se detectó por primera vez a finales de 2014 en máquinas Windows y ha sido distribuido a través de spam malicioso (malspam) y kits de explotación. Pese a su antigüedad se han visualizado nuevas campañas de correos electrónicos que utilizan este malware en idioma ruso e inglés. Los principales países afectados son Estados Unidos, Japón, India, Tailandia y Canadá y las principales industrias afectadas son de tecnología, retail y educación.
La infección involucra un archivo .js o .pdf camuflado como boleta o factura que contiene enlaces para descargar el payload de Shade desde los servidores comprometidos. Una vez descargado, Shade/Troldesh encripta todos los archivos de los usuarios con el esquema de cifrado AES-256 y agrega la extensión “.crypted000007”.
Cuando el ransomware infecta una máquina Windows, coloca un fondo de escritorio negro que anuncia que el sistema ha sido cifrado y crea un archivo de texto llamado “readme1.txt” donde explica el procedimiento para el rescate.
De acuerdo con Palo Alto, los resultados de búsqueda entre enero y marzo del 2019 revelan que existen 307 muestras activas de ransomware de Shade y que hay más de 6500 usuarios infectados.
Para este tipo de ataques recomendamos lo siguiente:
- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam: sus peligros y cómo actúa para engañar a sus víctimas e infectar sus equipos.
- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
- Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Actualizar los equipos con Windows a las últimas versiones.
- Configurar de manera más estricta el anti spam.
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
- Tener activado el UAC (control de cuentas de usuario) de Windows.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |