Un equipo de investigadores de ciberseguridad de Sophos ha hecho pública la existencia de una nueva variedad del ransomware Snatch que hace uso de un comportamiento nunca antes visto en esta clase de malware: reinicia el PC infectado en 'Modo seguro' antes de iniciar el cifrado del disco duro.
Los investigadores afirman que el motivo de tan novedosa estrategia sería sortear los antivirus instalados en dichos equipos, pues la protección en tiempo real de los mismos no se inicia en el 'Modo seguro' (en dicho modo Windows inicia sólo los componentes estrictamente necesarios para funcionar, prescindiendo de numerosos servicios y drivers).
La (única) buena noticia es que Snatch no se dirige al usuario doméstico
Además, este nuevo Snatch (la versión original se conoce desde hace ya un año) recurre una clave del Registro de Windows para programar el proceso de encriptación, lo que hace imposible para el antivirus detectarlo o detener el cifrado.
Otra de las particularidades de Snatch es que no sólo cifra la información del disco duro de las víctimas para exigirles un rescate a continuación, sino que roba información personal del mismo. Esto lo convierte en una de las variedades de ransomware más peligrosas que circulan ahora mismo por Internet.
Nuestro único consuelo es que no está siendo usado para atacar a usuarios domésticos mediante campañas masivas de spam, sino que sus creadores atacan objetivos gubernamentales y corporativos cuidadosamente seleccionados, a los que luego exigen rescates de entre 2.000 y 35.000 dólares en bitcoins.
Este malware sólo funciona en Windows, desde la versión 7 en adelante, tanto en ediciones de 32 como de 64 bits. Está programado con el lenguaje Go de Google y empaquetado mediante UPX para ocultar su contenidos. Utiliza herramientas como Cobalt Strike para explotar las vulnerabilidades de cada sistema y se instala como un servicio de Windows llamado SuperBackupMan, que es el responsable de instalar la clave de Registro antes mencionada y de reiniciar en Modo Seguro.
Para evitar ser víctima de Snatch, desde Sophos recomiendan no dejar desprotegida nuestra interfaz de Escritorio remoto, y asegurar herramientas similares como VNC y TeamViewer, además de utilizar sistemas de autenticación de múltiples factores para dificultar ataques de fuerza bruta.
Vía | TechRepublic