“Un único correo electrónico de phishing que contenga un malware ligeramente modificado puede eludir soluciones de seguridad empresariales multimillonarias si un adversario engaña a un empleado ciberhigiénicamente apático para que abra el archivo adjunto o haga clic en un enlace malicioso y, por lo tanto, comprometa toda la red. .”
James Scott, miembro principal del Instituto de Tecnología de Infraestructura Crítica
La semana pasada, un ransomware llamado Defray estaba dirigido a un grupo seleccionado de organizaciones de élite que exigían 5000 dólares. al infectarse. Es un troyano codificador de archivos escrito en C++ que utiliza un algoritmo criptográfico avanzado.
Debe leer: Varias formas de proteger su PC contra ransomware
El nombre Defray se basa en el host del servidor de comando y control en el primer ataque rastreado: 'defrayable-listings'.
También se lo conoce con otro nombre, Glushkov Ransomware. El nombre podría usarse como referencia a las cuentas de correo electrónico '[email protected]', 'glushkov®tutanota.de' y '[email protected]' que se utilizan para difundir la amenaza y para contactar al hacker.
Estaba distribuyendo dos ataques pequeños y selectivos y es reconocido como una gran amenaza criptográfica. la amenaza se está comparando con las cepas Petya y WannaCry.
Según los informes, la amenaza se dirige principalmente a hospitales e instituciones educativas y cifra la red de datos.
Los primeros ataques estaban dirigidos a organizaciones de salud y educación, mientras que el otro apuntaba a instituciones de fabricación y tecnología.
¿Cómo se está propagando?
Img src: gbhackers
El instalador utilizado para propagar el malware utiliza un documento de Word que contiene un clip de vídeo ejecutable incrustado (objeto shell del empaquetador O LE).
Cuando el destinatario intenta reproducir el archivo incrustado video, que es una imagen, Defray Ransomware se instala y se activa. Después de la instalación, comienza a cifrar datos y luego muestra una nota de rescate, declarando que para recuperar el acceso debe pagar un rescate.
Los correos electrónicos de phishing y los correos electrónicos de phishing dirigidos se utilizan para atraer a los empleados de la oficina y luego se los obliga a hacerlo. lea el documento infectado. Los correos electrónicos están dirigidos a individuos o grupos y consisten en mensajes especialmente diseñados para atraer a los objetivos.
La primera vez que la campaña tuvo lugar el 15 de agosto y estaba dirigida a profesionales de fabricación y tecnología. A continuación, el 22 de agosto, otra campaña wa Se lanzaron anuncios y se enviaron correos falsos a organizaciones sanitarias y educativas. Este correo electrónico contenía un informe de paciente de un supuesto Director de Gestión de la Información y Tecnología de un hospital.
Img src: Proofpoint
Estos correos electrónicos falsos invitan abiertamente al malware y este se instala en las máquinas. Es como darle la bienvenida a un vampiro a tu casa y luego permitirle tomar tu sangre.
Debe leer: Lo que se debe y no se debe hacer al tratar con ransomware
Después de todo esto, aparece una nota de rescate en su escritorio y se le pide a la víctima que pague $5,000 en forma de Bitcoins.
La nota de rescate se puede encontrar en dos archivos llamados 'Files.TXT' y 'HELP'. TXXR' y concluye:
“Este es un ransomware desarrollado a medida, el descifrador no lo fabricará una empresa antivirus. Éste ni siquiera tiene nombre. Utiliza AES-256 para cifrar archivos, RSA-2048 para almacenar la contraseña cifrada AES-256 y SHA-2 para mantener la integridad del archivo cifrado. Está escrito en C++ y ha pasado muchas pruebas de control de calidad. Para evitar esto la próxima vez, utilice copias de seguridad sin conexión”.
Fuente: tripwire
Defray Ransomware cifra archivos con las siguientes extensiones:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, .arw , .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, . dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf , .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, . pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, . stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet, .win, .xls, .xlsm, .xlsx, .zip.
Fuente: enigmasoftware
Siguiente lectura: Locky Ransomware 'Back from the Dead'
Todos estos ataques de ransomware son una alarma para mantenerse protegido y alerta. Debemos evitar abrir correos electrónicos recibidos de fuentes anónimas y de los que no estamos seguros. No debemos abrir todos los archivos adjuntos que recibimos en un correo electrónico. Además, desde el punto de vista de la seguridad, se debe instalar un antivirus actualizado en su m máquina.
Leer: 0
