Entradas
El nuevo informe de Kaspersky ICS CERT revela el comportamiento del ransomware Snake, responsable de ataques a varias empresas en los últimos meses
El nuevo informe publicado por Kaspersky ICS CERT hace un análisis sin precedentes del comportamiento del ransomware Snake (o Ekans), responsable de paralizar actividades industriales en los últimos meses, después de ataques a empresas en diferentes partes del mundo.
Según el documento, Snake, capaz de cifrar y evitar que una empresa acceda a documentos empresariales, actúa de manera específica, disfrazándose con los mismos dominios y direcciones IP de las redes invadidas para obtener acceso libre y realizar el cifrado de archivos. Esta información también indicaría que la acción de Snake representa solo el último de una serie de pasos coordinados previamente. Antes de estructurar el ransomware, por ejemplo, los ciberdelincuentes necesitan descubrir los registros de direcciones de sus objetivos y, en algunos casos, obtienen estos datos a través de servidores DNS públicos.
Todas las muestras analizadas fueron bloqueadas por las soluciones de seguridad de Kaspersky, basadas en el modelo original del ransomware Snake, identificado en diciembre de 2019.
Los principales hallazgos de Kaspersky ICS CERT sobre el ransomware Snake están a continuación:
• El malware inició usando un archivo "nmon.bat". Los productos de Kaspersky detectaron el archivo en las carpetas de script de la política de dominio;
• La única diferencia entre todas las muestras del ransomware Snake identificadas es el nombre de dominio y la dirección IP incorporada en el código;
• La dirección IP en el código del malware se compara con la dirección IP de la máquina infectada, si el malware es capaz de identificarlo.
• El malware solo cifra los datos de la máquina infectada si la dirección IP del dispositivo y la que esta presente en el código del malware son las mismas.
• La combinación de dirección IP y nombre de dominio incorporado en el código del malware es única para cada ataque identificado. Al parecer, esto es válido para la red interna de la organización objetivo de los ataques.
• En algunos casos, los nombres de dominio pueden haberse obtenido de servidores públicos (DNS), mientras que la información sobre las direcciones IP asociadas con estos aparentemente se almacena en servidores DNS internos. Como resultado, tal información solo está disponible cuando se envían solicitudes DNS desde las redes internas invadidas.
• Además del nombre de dominio y la dirección IP de la organización, ambos incorporados en el código de malware, las nuevas muestras de Snake son diferentes de aquellas identificadas en diciembre de 2019. Esto se debe a que tienen una lista amplia de extensiones de archivos (errores tipográficos) que el malware debería encriptar. Los ejemplos incluyen extensiones para archivos de unidades virtuales, Microsoft Access, código fuente en С / C # / ASP / JSP / PHP / JS, así como los archivos correspondientes para proyectos, soluciones y otras extensiones que no fueron compatibles con muestras anteriores.
Para identificar las señales de un ataque del ransomware Snake y prevenir posibles daños, Kaspersky ICS CERT recomienda:
• Utilice los índices de compromiso proporcionados para identificar infecciones en estaciones de trabajo y servidores de Windows (Revise aquí).
• Revise las políticas de dominio y los scripts en busca de código malicioso;
• Busque tareas activas en Windows Task Scheduler, tanto en estaciones de trabajo como en servidores, en busca de código malicioso;
• Cambie las contraseñas para todas las cuentas en el grupo de administradores de dominio.
Acerca de Kaspersky
Kaspersky es una empresa de ciberseguridad global fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 250,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com.
Acerca de Kaspersky ICS CERT
El Equipo de respuesta a emergencias cibernéticas en sistemas de control industrial de Kaspersky (Kaspersky ICS CERT) es un proyecto global introducido por Kaspersky en 2016 para coordinar los esfuerzos de proveedores de sistemas de automatización, propietarios y operadores de instalaciones industriales e investigadores de seguridad de TI para proteger a las empresas industriales contra ciberataques. Kaspersky ICS CERT dedica sus esfuerzos principalmente a identificar amenazas potenciales y existentes dirigidas a sistemas de automatización industrial y a la Internet industrial de las cosas. Desde su inicio, el equipo ha identificado más de 200 vulnerabilidades críticas en productos de los principales proveedores mundiales de sistemas de control industrial (ICS). Kaspersky ICS CERT es un miembro activo y socio de las principales organizaciones internacionales que desarrollan recomendaciones para proteger a las empresas industriales contra ciberamenazas. ics-cert.kaspersky.com
