
Ciudad de México, 22 de septiembre de 2020.
El cifrado de datos, combinado con el robo de información, es una de las tácticas más comunes utilizadas por los ciberdelincuentes en la actualidad. Uno de los primeros ransomware en ejecutar esa forma de secuestro de datos fue Maze, que desde 2019 ha sido una de los más activos.
¿Y cómo se desarrolla ese ataque? Las últimas investigaciones de Sophos indican que los atacantes se inmiscuyen en la red de sus víctimas al menos seis días antes de su primer intento de lanzar la carga útil o payload, que es el conjunto de datos mediante el cual se transmite el ransomware. Durante este tiempo, los delincuentes exploran la red, ejecutan herramientas legítimas de terceros, establecen conexiones y extraen datos a un servicio de almacenamiento en la nube preparándose así para el lanzamiento del componente malicioso.
Pero lo que han encontrado los criminales cibernéticos es que las víctimas no suelen pagar por el rescate que exigen en un primer intento y que, posterior a ello, suelen ser rápidamente detectados por las soluciones de ciberseguridad. Es por eso que los atacantes están utilizando una versión reconfigurada de la técnica Ragnar Locker. Este método consiste en instalar en el sistema un archivo en formato .msi que contiene un instalador para las versiones de 32 y 64 bits de VirtualBox 3.0.4, la cual fue lanzada en 2009. De esa forma, el sistema no detecta archivo malicioso alguno, ya que VirtualBox es una aplicación legítima.
Dentro de VirtualBox, el ciberdelincuente genera una ‘máquina virtual’ basada en una versión anterior del sistema operativo de la máquina, en la que distribuye la carga útil del cifrado de archivos de ransomware.
Lo anterior se hace con el fin de extraer la información que quieren robar mientras que las soluciones de ciberseguridad locales no son capaces de detectar ese proceso, ya que se está ejecutando en la máquina virtual y sobre un sistema operativo antiguo.
Comúnmente la técnica Ragnar Locker genera una máquina virtual con Windows XP, pero en este caso Sophos detectó que los atacantes utilizaron una máquina virtual que ejecutaba Windows 7, por lo que fueron inmediatamente reconocidos y bloqueados.
“La cadena de ataque descubierta por Sophos destaca la agilidad de los atacantes humanos y su capacidad para sustituir y reconfigurar herramientas rápidamente al verse descubiertos”, dijo Peter Mackenzie, gerente de respuesta a incidentes de Sophos. «El uso de una técnica de máquina virtual de Ragnar Locker podría reflejar una creciente frustración por parte de los atacantes después de que fallaron sus primeros intentos de cifrar datos».
Sophos recomienda que para prevenir ciberataques, en particular ransomware, los equipos de seguridad de TI deben actualizar sus sistemas de seguridad en capas basados en la nube, incluida la tecnología anti-ransomware.
Para conocer más sobre este ransomware y saber cómo proteger a tu organización de este tipo de amenazas, consulta la investigación Atacantes de Maze adoptan la técnica de máquina virtual de Ragnar Locker de Sophos. El informe detalla cómo los atacantes probaron tres formas diferentes de ejecutar el ransomware Maze durante un solo ataque y exigieron un rescate de 15 millones de dólares.
SOBRE SOPHOS
Como líder mundial en seguridad cibernética de última generación, Sophos protege a más de 400,000 organizaciones en más de 150 países de las amenazas cibernéticas más avanzadas de la actualidad. Desarrolladas por SophosLabs, un equipo global de inteligencia contra amenazas cibernética y ciencia de datos, las soluciones basadas en inteligencia artificial y nativas de la nube de Sophos ofrecen seguridad a endpoints (computadoras portátiles, servidores y dispositivos móviles) y redes contra las diversas técnicas de ciberdelincuencia que están en constante evolución, incluidos ransomware, malware, exploits, extracción de datos, incumplimientos de adversarios activos, phishing y más. Sophos Central, una plataforma de administración nativa de la nube, integra toda la cartera de productos de próxima generación de Sophos, incluida la solución de endpoint Intercept X y el Firewall XG, en un único sistema de «seguridad sincronizada» accesible a través de un conjunto de APIs.
Sophos ha impulsado la transición a la ciberseguridad de última generación, aprovechando las capacidades avanzadas en la nube, el aprendizaje automático, las API, la automatización, la respuesta ante amenazas y más, para brindar protección de nivel empresarial a organizaciones de cualquier tamaño. Sophos vende sus productos y servicios exclusivamente a través de un canal global de más de 53,000 socios y proveedores de servicios administrados (MSP). Sophos también pone a disposición de los consumidores sus innovadoras tecnologías comerciales a través de Sophos Home. La compañía tiene su sede en Oxford, Reino Unido. Para obtener más información visita www.sophos.com.
Mario García Cruz, Account Executive, Another Company, mario@another.co 55 3930 2474, Diana Guillén, Group Assistant, Another Company, diana.guillen@another.co
Más historias
Falta de inversión en seguridad: Riesgo para el sector logístico en 2025
ChargePoint colabora con HCLTech para revolucionar las tecnologías de carga de vehículos eléctricos
TOTVS consolida evolución de rentabilidad con crecimiento interanual del 37% en EBITDA Ajustado en el 4º trimestre de 2024