Se detecta nueva versión del Ransomware DeathRansom

07 Enero 2020
Alto

DeathRansom fue visto por primera vez en noviembre de 2019 como un ransomware de prueba por sus errores en el cifrado. Solo cambiaba las extensiones y no comprometía los archivos, por lo que fue considerado como una amenaza de bajo riesgo.

Hoy en día las cosas han cambiado, ahora DeathRansom cifra de manera efectiva en unidades locales y de red utilizando una serie de algoritmos, volviendo a evidenciarse masivas campañas de phishing para su propagación por internet.

Desde Fortinet se esforzaron en descubrir al autor de DeathRansom y lograron vincular al ransomware a un operador que estuvo detrás de otras campañas, el cual utiliza el alias de scat01, además de evidencias de raíces rusas en las huellas que deja. 

 

El Centro de Ciberinteligencia recomienda:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #DeathRansom #Ransomware #Scat01 #cifrado


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.