Kaspersky analizó un ataque que paralizó a industrias en todo el mundo

Kaspersky analizó un ataque que paralizó a industrias en todo el mundo
Todas las muestras analizadas fueron bloqueadas por las soluciones de seguridad de Kaspersky, basadas en el modelo original del ransomware Snake, identificado en diciembre de 2019.

El nuevo informe de Kaspersky ICS CERT revela el comportamiento del ransomware Snake, responsable de ataques a varias empresas en los últimos meses.

El nuevo informe publicado por Kaspersky ICS CERT hace un análisis sin precedentes del comportamiento del ransomware Snake (o Ekans), responsable de paralizar actividades industriales en los últimos meses, después de ataques a empresas en diferentes partes del mundo.

Según el documento, Snake, capaz de cifrar y evitar que una empresa acceda a documentos empresariales, actúa de manera específica, disfrazándose con los mismos dominios y direcciones IP de las redes invadidas para obtener acceso libre y realizar el cifrado de archivos. Esta información también indicaría que la acción de Snake representa solo el último de una serie de pasos coordinados previamente. Antes de estructurar el ransomware, por ejemplo, los ciberdelincuentes necesitan descubrir los registros de direcciones de sus objetivos y, en algunos casos, obtienen estos datos a través de servidores DNS públicos.

Los principales hallazgos de Kaspersky ICS CERT sobre el ransomware Snake están a continuación:

  • El malware inició usando un archivo nmon.bat. Los productos de Kaspersky detectaron el archivo en las carpetas de script de la política de dominio.
  • La única diferencia entre todas las muestras del ransomware Snake identificadas es el nombre de dominio y la dirección IP incorporada en el código.
  • La dirección IP en el código del malware se compara con la dirección IP de la máquina infectada, si el malware es capaz de identificarlo.
  • El malware solo cifra los datos de la máquina infectada si la dirección IP del dispositivo y la que esta presente en el código del malware son las mismas.
  • La combinación de dirección IP y nombre de dominio incorporado en el código del malware es única para cada ataque identificado. Al parecer, esto es válido para la red interna de la organización objetivo de los ataques.
  • En algunos casos, los nombres de dominio pueden haberse obtenido de servidores públicos (DNS), mientras que la información sobre las direcciones IP asociadas con estos aparentemente se almacena en servidores DNS internos. Como resultado, tal información solo está disponible cuando se envían solicitudes DNS desde las redes internas invadidas.
  • Además del nombre de dominio y la dirección IP de la organización, ambos incorporados en el código de malware, las nuevas muestras de Snake son diferentes de aquellas identificadas en diciembre de 2019. Esto se debe a que tienen una lista amplia de extensiones de archivos (errores tipográficos) que el malware debería encriptar. Los ejemplos incluyen extensiones para archivos de unidades virtuales, Microsoft Access, código fuente en ? / C # / ASP / JSP / PHP / JS, así como los archivos correspondientes para proyectos, soluciones y otras extensiones que no fueron compatibles con muestras anteriores.
Te puede interesar  Kaspersky convoca a startups tecnológicas de todo el mundo

Para identificar las señales de un ataque del ransomware Snake y prevenir posibles daños, Kaspersky ICS CERT recomienda:

  • Utilice los índices de compromiso proporcionados para identificar infecciones en estaciones de trabajo y servidores de Windows.
  • Revise las políticas de dominio y los scripts en busca de código malicioso.
  • Busque tareas activas en Windows Task Scheduler, tanto en estaciones de trabajo como en servidores, en busca de código malicioso.
  • Cambie las contraseñas para todas las cuentas en el grupo de administradores de dominio.
Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados

Tipo de error: "Forbidden". Mensaje de error: "The request cannot be completed because you have exceeded your quota." Dominio: "youtube.quota". Razón: "quotaExceeded".

Did you added your own Google API key? Look at the help.

Comprueba en YouTube si el id UC8nOuNcjMh0JO1VR8vMCO4A corresponde a un channelid. Revise el FAQ del plugin or envíe los mensajes de error a support.


FDV Solutions renueva exitosamente su compromiso con la calidad

La compañía cumplió con la segunda auditoría de mantenimiento de la tercera instancia de certificación de la norma ISO 9001.

Cerrar