¿Qué es el ransomware 'Maze' y cómo roba información personal de la víctima?
Los atacantes se introducen en la red de sus víctimas y luego secuestran datos personales.
El cifrado de datos, combinado con el robo de información es una de las tácticas más utilizadas por los ciberdelincuentes en la actualidad. Uno de los primeros ransomware (técnica para secuestrar datos) para realizar el robo de información fue 'Maze'.
De acuerdo con últimas investigaciones de Sophos, los atacantes se introducen en la red de sus víctimas al menos seis días antes de su primer intento de lanzar la carga útil o payload, que es el conjunto de datos mediante el cual se transmite el ransomware. Durante este tiempo, los delincuentes exploran la red, ejecutan herramientas legítimas de terceros, establecen conexiones y extraen datos a un servicio de almacenamiento en la nube preparándose así para el lanzamiento del componente malicioso.
Vea acá: Microsoft anuncia plataforma para predecir pandemias como si fuera el clima
Sin embargo, los criminales cibernéticos también ha detectado que las víctimas no suelen pagar por el rescate que exigen en su primer intento de estafa, además suelen ser rápidamente detectados por las soluciones de ciberseguridad. Es por eso que los atacantes están utilizando una versión reconfigurada de la técnica 'Ragnar Locker', método que consiste en instalar en el sistema un archivo en formato .msi que contiene un instalador para las versiones de 32 y 64 bits de VirtualBox 3.0.4, la cual fue lanzada en 2009. De esa forma, el sistema no detecta archivo malicioso alguno, ya que VirtualBox es una aplicación legítima.
Dentro de VirtualBox, el ciberdelincuente genera una ‘máquina virtual’ basada en una versión anterior del sistema operativo de la máquina, en la que distribuye la carga útil del cifrado de archivos de ransomware.
Consulte también: Las dos iniciativas con que Colombia busca ampliar el acceso a internet
Lo anterior se hace con el fin de extraer la información que quieren robar mientras que las soluciones de ciberseguridad locales no son capaces de detectar ese proceso, ya que se está ejecutando en la máquina virtual y sobre un sistema operativo antiguo.
Comúnmente la técnica 'Ragnar Locker' genera una máquina virtual con Windows XP.
“La cadena de ataque descubierta por Sophos destaca la agilidad de los atacantes humanos y su capacidad para sustituir y reconfigurar herramientas rápidamente al verse descubiertos”, dijo Peter Mackenzie, gerente de respuesta a incidentes de Sophos.
Mire acá: Apple dejará de cobrar el 30 % por eventos de pequeñas negocios en Facebook
Para prevenir ciberataques, en particular ransomware, los equipos de seguridad de TI deben actualizar sus sistemas de seguridad en capas basados en la nube, incluida la tecnología anti-ransomware.