WASTEDLOCKER: KASPERSKY ANALIZA AL RANSOMWARE QUE ATACÓ A GARMIN

0
91

El informe de la empresa revela que el cryptolocker contiene aspectos técnicos inusuales

3 de agosto de 2020

Garmin, la popular compañía de tecnología de fitness y GPS, fue víctima de un ataque de cripto ransomware que interrumpió sus servicios durante tres días, mientras que su red interna y sus sistemas de producción fueron cifrados y retenidos por un rescate de $10 millones de dólares. Este ha sido el más reciente incidente en un número creciente de ataques de ransomware contra grandes organizaciones.

En un comunicado oficial, Garmin confirmó que fue víctima del troyano WastedLocker, un ransomware que se ha vuelto notablemente más activo desde la primera mitad de este año. Esta versión en particular fue diseñada para apuntar específicamente a Garmin y contiene varios aspectos técnicos inusuales.

El primero de estos es su técnica para burlar el control de acceso de usuario (UAC). Una vez lanzado en un dispositivo comprometido, el troyano verifica si tiene privilegios lo suficientemente fuertes para ejecutarse. De lo contrario, intentará elevar sigilosamente sus privilegios, engañando al sistema usando binarios legítimos para iniciar el código del troyano, oculto en una secuencia ADS (Alternate Data Stream), nativa de sistemas NTFS. De esa forma, el troyano se podrá ejecutar e iniciar la infección en sistemas configurados con cuentas de usuario limitadas. 

Adicionalmente, la muestra analizada de WastedLocker utilizó una sola llave pública RSA, la cual es utilizada para cifrar archivos. Esto sería una debilidad si el malware se distribuyera de forma masiva, pues el descifrador solo tendría que usar una sola llave de RSA privada para desbloquear todos los archivos afectados. Sin embargo, en un ataque dirigido, como claramente fue el caso de este ataque, el uso de una sola llave RSA es una táctica eficaz. 

“Este incidente destaca que hay una tendencia creciente de ataques de ransomware dirigidos contra grandes corporaciones, algo que contrasta con las campañas de ransomware más extendidas y populares del pasado, como WannaCry y NotPetya. Si bien hay menos víctimas, la mayoría de estos ataques dirigidos están siendo desarrollados para realizar doble extorsión. Esto ocurre cuando el cibercriminal cobra rescate por los datos y, en caso de que la empresa no acepte pagar, amenaza con publicar los datos en Internet, lo que generará multas para la empresa victima según las leyes de protección de datos vigentes. Y esta tendencia solo crecerá en el futuro.  Aunque no observamos este comportamiento en WastedLocker, muchas otras familias de ransomware adoptan esta práctica. Por lo tanto, es fundamental que las organizaciones permanezcan alertas y tomen medidas de prevención”, comenta Fabio Assolini, analista senior de seguridad en Kaspersky.

Para evitar ser victima de WastedLocker y otros ransomware, los expertos de Kaspersky recomiendan:

  1. Use versiones actualizadas, tanto de su sistema operativo como de software;
  2. Utilice una VPN para asegurar el acceso remoto a los recursos de la empresa;
  3. Adopte una solución de seguridad de calidad, como Kaspersky Endpoint Security for Business, con soporte de detección de comportamiento sospechoso, motor de corrección que permite la reversión automática de archivos, y una serie de tecnologías de protección contra el ransomware;
  4. Invierta en la capacitación de los empleados. Kaspersky Security Awareness ofrece herramientas de capacitación que combinan la experiencia en ciberseguridad con las mejores prácticas y tecnologías educativas.
  5. Use una solución confiable para el respaldo de datos.

Para más información sobre el análisis de WastedLocker, visite Securelist.

Acerca de Kaspersky

Kaspersky es una empresa de ciberseguridad global fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 250,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com