Una nueva amenaza de robo de datos híbrido-ransomware deshabilita las protecciones de seguridad al reiniciar las máquinas Windows a mitad del ataque. Así lo reportaron los miembros del equipo de seguridad de HeOn SOC quienes están en permanente vigilancia de todo tipo de amenazas.
Los investigadores de seguridad han estado analizando una serie continua de ataques de ransomware en los que el ejecutable de la amenaza obliga a la máquina Windows a reiniciarse en modo seguro antes de comenzar el proceso de cifrado. Los atacantes pueden estar utilizando esta técnica para eludir la protección del punto final, que a menudo no se ejecutará en modo seguro.
Según los hallazgos de HeOn SOC, cuando la computadora vuelve a funcionar después del reinicio, esta vez en modo seguro, el malware usa el componente de Windows net.exe para detener el servicio SuperBackupMan, y luego usa el componente de Windows vssadmin.exe para eliminar todas las instantáneas de volumen en el sistema, que impide la recuperación forense de los archivos cifrados por el ransomware.
También le puede interesar; Con la auditoría médica, impacte el costo de forma positiva mediante la gestión en salud
¿Cómo prevenirse?
Recuerde que la mejor herramienta para no convertirse en víctima de los ciberdelincuentes es la prevención, el uso de contraseñas seguras y, sobre todo, el buen uso de los recursos, la prudencia en el momento de abrir archivos y mantenerse informado al respecto.
Con los siguientes consejos usted evitará que su organización o sus dispositivos sean infectados y pierda su información.
- • Abstenerse de exponer la interfaz de Escritorio remoto a Internet sin protección. Las organizaciones que deseen permitir el acceso remoto a las máquinas deben ponerlos detrás de una VPN en su red, para que no puedan ser contactados por nadie que no tenga credenciales de VPN.
- • Los atacantes de Snatch también expresaron interés en contratar delincuentes que son capaces de violar las redes utilizando otros tipos de herramientas de acceso remoto, como VNC y TeamViewer, así como aquellos con experiencia en el uso de shells web o la intrusión en servidores SQL utilizando Técnicas de inyección SQL. Es lógico que este tipo de servicios orientados a Internet también presenten riesgos significativos si no se atienden.
- • Del mismo modo, las organizaciones deben implementar de inmediato la autenticación multifactor para usuarios con privilegios administrativos, para que sea más difícil para los atacantes forzar por fuerza bruta esas credenciales de cuenta.
IOC
Email
• Imboristheblade [@] protonmail [.] com• Newrecoveryrobot [@] pm [.] me
• Jimmtheworm [@] dicksinmyan [.] us
• doctor666 [@] cock [.] li
• doctor666 [@] mail [.] fr
Dominios
• mydatassuperhero [.] com• snatch6brk4nfczg [.] onion
• mydatasuperhero [.] com
• snatch24uldhpwrm [.] onion
Fuente: https://www.heon.com.co/
No olvides Compartir...
0 Comentarios