Este nuevo ransomware cifra sus datos y también genera amenazas desagradables.
El grupo detrás de una nueva variante de ransomware amenaza con ir más allá del cifrado de datos en sus intentos de obligar a las víctimas a pagar.
Los ciberdelincuentes están distribuyendo una nueva forma de ransomware en los ataques contra las víctimas en los que no solo cifran la red, sino que también amenazan con lanzar ataques distribuidos de denegación de servicio (DDoS) y acosar a los empleados y socios comerciales si no se paga un rescate.
Apodado Yanluowang, el ransomware fue descubierto por investigadores de ciberseguridad del equipo Symantec Threat Hunter de Broadcom Software mientras investigaban un intento de ciberataque contra una gran organización no revelada.
Si bien el intento de ataque no tuvo éxito, la investigación reveló una nueva forma de ransomware. También proporcionó información sobre cómo algunos ciberdelincuentes intentan hacer que los ataques sean más efectivos, en este caso, con la amenaza de ataques adicionales.
Consulte también: Una estrategia ganadora para la ciberseguridad (informe especial de ZDNet).
Yanluowang deja caer una nota de rescate diciéndole a la víctima que ha sido infectada con ransomware, diciéndole que envíe un mensaje a una dirección de contacto para negociar el pago de un rescate. La nota advierte a las víctimas que no se comuniquen con la policía, el FBI o las autoridades, y que no se comuniquen con una empresa de ciberseguridad; está implícito que si la víctima hace esto, no recuperarán sus datos.
Pero los ciberdelincuentes detrás de Yanluowang van aún más lejos con sus amenazas, sugiriendo que si la víctima pide ayuda externa, lanzarán ataques DDoS contra la víctima, desbordando sus sitios web con tanto tráfico que colapsarán, y ellos ‘ Realizaremos llamadas a empleados y socios comerciales. También sugieren que si la víctima no coopera, regresará con ataques adicionales o incluso eliminará los datos cifrados, por lo que se perderán para siempre.
“Es difícil decir si se trata de una amenaza genuina. Sin embargo, ciertamente está en línea con lo que estamos viendo de otros actores de ransomware que parecen sentirse amenazados por las víctimas que llaman a la policía o comparten información con terceros”, dijo Dick O ‘ Brien, editor principal de Symantec, le dijo a ZDNet .
Todavía no está claro cómo los ciberdelincuentes obtuvieron acceso a la red. Aún así, los investigadores descubrieron el ataque después de identificar un uso sospechoso de AdFind, una línea de comando legítima en la herramienta de consulta de Active Directory.
Los atacantes de ransomware suelen abusar de esta herramienta y se utiliza como una técnica de reconocimiento para explotar Active Directory y encontrar formas adicionales de moverse en secreto por la red, con el objetivo final de implementar ransomware.
En este caso, los atacantes intentaron implementar ransomware pocos días después de que se identificara la actividad sospechosa y, en última instancia, el intento de ataque de ransomware se evitó porque los signos reveladores de un ataque habían sido reconocidos y bloqueados .
No obstante, la aparición de otro nuevo grupo de ransomware, en particular uno que hace amenazas adicionales para obligar a las víctimas a pagar rescates, es un desarrollo no deseado.
Consulte también: Advertencia de seguridad de BYOD: no puede hacer todo de forma segura con solo dispositivos personales .
El ransomware parece ser un trabajo en progreso para que pueda ser más efectivo en el futuro. Sin embargo, existen medidas que las organizaciones pueden tomar para proteger sus negocios de esta amenaza y otras formas de ransomware.
“En términos generales, deberían adoptar una estrategia de defensa en profundidad, utilizando múltiples tecnologías de detección, protección y endurecimiento para mitigar el riesgo en cada punto de la cadena de ataque potencial”, dijo O’Brien.
“Solo permita RDP [Protocolo de escritorio remoto] desde direcciones IP específicas conocidas. También recomendamos implementar una auditoría y un control adecuados del uso de la cuenta administrativa”, agregó.
Otras acciones que las organizaciones pueden tomar para ayudar a protegerse contra el ransomware y otros ciberataques incluyen la aplicación de parches de seguridad lo antes posible , para que los ciberdelincuentes no puedan aprovechar las vulnerabilidades conocidas para acceder a la red. Las organizaciones también deben equipar a los usuarios con herramientas de autenticación de múltiples factores , por lo que es más difícil para los ciberdelincuentes aprovechar las contraseñas y los nombres de usuario violados.
referencia https://www.zdnet.com/article/this-new-ransomware-encrypts-your-data-and-makes-some-nasty-threats-too/?ftag=TRE-03-10aaa6b&bhid=%7B%24external_id%7D&mid=%7B%24MESSAGE_ID%7D&cid=%7B%24contact_id%7D&eh=%7B%24CF_emailHash%7D
