Analiza Kaspersky ataque a varias empresas
Responsable de paralizar actividades industriales en los últimos meses, el ransomware Snake o Ekans fue analizado por el fabricante.
Según el informe, Snake, capaz de cifrar y evitar que una empresa acceda a documentos empresariales, actúa de manera específica, disfrazándose con los mismos dominios y direcciones IP de las redes invadidas para obtener acceso libre y realizar el cifrado de archivos. Esta información también indicaría que la acción de Snake representa solo el último de una serie de pasos coordinados previamente. Antes de estructurar el ransomware, por ejemplo, los ciberdelincuentes necesitan descubrir los registros de direcciones de sus objetivos, y en algunos casos, obtienen estos datos a través de servidores DNS públicos.
De acuerdo con la firma en seguridad, todas las muestras analizadas fueron bloqueadas por sus soluciones, basadas en el modelo original del ransomware Snake, identificado en diciembre de 2019.
Asimismo proporcionó los principales hallazgos sobre el ransomware Snake:
–El malware inició usando un archivo «nmon.bat». Los productos de la marca detectaron el archivo en las carpetas de script de la política de dominio.
–La única diferencia entre todas las muestras del ransomware Snake identificadas es el nombre de dominio y la dirección IP incorporada en el código.
–La dirección IP en el código del malware se compara con la dirección IP de la máquina infectada, si el malware es capaz de identificarlo.
–El malware solo cifra los datos de la máquina infectada si la dirección IP del dispositivo y la que está presente en el código del malware son las mismas.
–La combinación de dirección IP y nombre de dominio incorporado en el código del malware es única para cada ataque identificado. Al parecer, esto es válido para la red interna de la organización objetivo de los ataques.
–En algunos casos, los nombres de dominio pueden haberse obtenido de servidores públicos (DNS), mientras que la información sobre las direcciones IP asociadas con estos aparentemente se almacena en servidores DNS internos. Como resultado, tal información solo está disponible cuando se envían solicitudes DNS desde las redes internas invadidas.
–Además del nombre de dominio y la dirección IP de la organización, ambos incorporados en el código de malware, las nuevas muestras de Snake son diferentes de aquellas identificadas en diciembre de 2019. Esto se debe a que tienen una lista amplia de extensiones de archivos (errores tipográficos) que el malware debería encriptar. Los ejemplos incluyen extensiones para archivos de unidades virtuales, Microsoft Access, código fuente en С / C # / ASP / JSP / PHP / JS, así como los archivos correspondientes para proyectos, soluciones y otras extensiones que no fueron compatibles con muestras anteriores.
También Kaspersky hizo las siguientes recomendaciones para identificar las señales de un ataque del ransomware Snake y prevenir posibles daños:
–Utiliza los índices de compromiso proporcionados para identificar infecciones en estaciones de trabajo y servidores de Windows (Revisar aquí).
–Revisa las políticas de dominio y los scripts en busca de código malicioso.
–Busca tareas activas en Windows Task Scheduler, tanto en estaciones de trabajo como en servidores, para encontrar algún código malicioso.
–Cambia las contraseñas para todas las cuentas en el grupo de administradores de dominio.
WhatsApp eSemanal 55 7360 5651
