Un nuevo ransomware que utiliza sofisticadas técnicas para evitar ser detectado
La empresa de seguridad cibernética, Recorded Future, reveló el 10 de junio que un ataque con ransomware llamado “Thanos” ha sido promovido en varios foros de hackeo en la darknet desde febrero.
Según el informe, el Grupo Insikt de Recorded Future descubrió el nuevo servicio de ataque con ransomware.
Los métodos de “ransomware como servicio” consisten en permitir a hackers externos utilizar el ransomware para atacar a sus objetivos a cambio de integrarse a un esquema en el que los ingresos deben ser repartidos con los desarrolladores, dividiendo las ganancias entre el 60% y 70% aproximadamente.
La principal característica del ransomware Thanos
Hablando con Cointelegraph, Lindsay Kaye, directora de resultados operativos de Insikt Group en Recorded Future, explica más a fondo la característica de cifrado utilizada en este ransomware:
“Thanos no tiene características particularmente sofisticadas o novedosas que pudimos identificar, pero la característica más notable que encontró el Grupo Insikt y que estimuló esta investigación es el uso de la técnica del malware RIPlace en su proceso de encriptación de archivos, anteriormente, la técnica RIPlace solo se observaba en la prueba del concepto publicada por Nyotron, pero el ransomware Thanos muestra un ejemplo en un actor de amenazas que utiliza esta técnica para su uso como malware “.
El generador del ransomware Thanos permite al operador personalizar la nota de rescate del software, pueden modificar el texto para solicitar cualquier criptomoneda de su elección, no solo Bitcoin (BTC)
Aunque es una posibilidad anunciada, Kaye dice que hasta ahora, no han observado el uso de Monero con el ransomware.
El nivel de fuerza del cifrado
El director de resultados operacionales del Grupo Insikt de Recorded Future aconsejó:
“Los ataques con ransomware, si tienen éxito, pueden ser enormemente debilitantes para las empresas, debido a que Thanos utiliza de forma predeterminada una clave de cifrado AES que se genera al momento de la ejecución, sin la clave privada del atacante, la recuperación de los archivos es imposible, dicho esto, para minimizar el riesgo de un ataque con Thanos, las organizaciones deberían seguir empleando las mejores prácticas de seguridad de la información para reducir las amenazas que plantea el ransomware”.
Cointelegraph previamente informó que los hackers de DopplePaymer filtraron una serie de archivos que pertenecen a la NASA a través de un portal operado por la pandilla, incluidos documentos de recursos humanos y planes de proyectos, etos archivos provienen de Digital Management Inc, con sede en Maryland, o DMI, que es un contratista de TI que trabaja con varias empresas y entidades gubernamentales.
Sigue leyendo: