MAT2 una aplicación para la eliminación de metadatos – Linux
12 diciembre, 2019
ZeroCleare: un malware de borrado de datos de APT34 y xHunt
12 diciembre, 2019
Un equipo de investigadores de ciberseguridad de Sophos ha hecho pública la existencia de una nueva variedad del ransomware Snatch que hace uso de un comportamiento nunca antes visto en esta clase de malware: reinicia el PC infectado en ‘Modo seguro’ antes de iniciar el cifrado del disco duro.
Los investigadores afirman que el motivo de tan novedosa estrategia sería sortear los antivirus instalados en dichos equipos, pues la protección en tiempo real de los mismos no se inicia en el ‘Modo seguro’ (en dicho modo Windows inicia sólo los componentes estrictamente necesarios para funcionar, prescindiendo de numerosos servicios y drivers)
Otra de las particularidades de Snatch es que no sólo cifra la información del disco duro de las víctimas para exigirles un rescate a continuación, sino que roba información personal del mismo. Esto lo convierte en una de las variedades de ransomware más peligrosas que circulan ahora mismo por Internet.
Utiliza herramientas como Cobalt Strike para explotar las vulnerabilidades de cada sistema y se instala como un servicio de Windows llamado SuperBackupMan, que es el responsable de instalar la clave de Registro antes mencionada y de reiniciar en Modo Seguro.
Para evitar ser víctima de Snatch, desde Sophos recomiendan no dejar desprotegida nuestra interfaz de Escritorio remoto, y asegurar herramientas similares como VNC y TeamViewer, además de utilizar sistemas de autenticación de múltiples factores para dificultar ataques de fuerza bruta.
Mas…
