Snake ransomware aísla los sistemas antes del cifrado


El ransomware Snake (también conocido como EKANS) fue descubierto por primera vez por especialistas en seguridad de la información en enero de 2020, y en los últimos meses se ha convertido en una amenaza muy común para los sistemas de control industrial (ICS), ya que el malware se centra en procesos específicos de estos entornos. Por ejemplo, el mes pasado se informó que Honda había sufrido el ataque de este ransomware .

Una de las características de Snake es la eliminación de procesos de una lista preparada previamente, incluidos los procesos relacionados con ICS. También se sabe que el malware usualmente roba datos de la compañía antes de encriptar archivos, y luego los operadores de ransomware exigen un rescate por esta información.

Ahora, los expertos de Deep Instinct han hablado sobre otra característica interesante del encriptador. Resultó que el malware aísla cuidadosamente las máquinas infectadas para que nadie interfiera con el proceso de cifrado de archivos. Para hacer esto, los desarrolladores de Snake "enseñaron" a su malware a habilitar y deshabilitar el firewall y usar comandos especiales para bloquear conexiones no deseadas al sistema.

"Antes de comenzar el cifrado, Snake usa el firewall de Windows para bloquear cualquier conexión de red entrante o saliente a la computadora de la víctima que no esté incluida en la configuración del firewall. Para este propósito, se utiliza la herramienta netsh integrada en Windows ”, escriben los expertos.

Además, el malware busca procesos que puedan interferir con el proceso de cifrado y los elimina. Esto se aplica a procesos de aplicaciones industriales, herramientas de seguridad y soluciones de respaldo. Snake también elimina las instantáneas para dificultar la recuperación de datos.

Los expertos de Fortinet, que recientemente también presentaron su propio informe Snake , señalan que después de completar el cifrado, el malware generalmente desactiva el firewall. Además, los investigadores de Fortinet llamaron la atención sobre el hecho de que el ransomware prefiere atacar a los controladores de dominio, que están dirigidos a la red después de la infección inicial. Para estos fines, Snake utiliza consultas WMI y define los roles de varias máquinas en la red.

Fortinet advierte que si el controlador de dominio se ve comprometido, Snake podrá influir en las solicitudes de autenticación en el dominio de la red, lo que podría afectar seriamente a los usuarios.



Fuente: https://xakep.ru/

No olvides Compartir... 
Siguenos en twitter: @disoftin - @fredyavila

Publicar un comentario

0 Comentarios