A medida que evoluciona el panorama de la ciberdelincuencia, los grupos de ransomware están adoptando nuevas estrategias y tácticas para maximizar su impacto.
El CSIRT de la Asobancaria, en su enfoque colaborativo y proactivo en la gestión de ciberseguridad del sector financiero colombiano, publicó la información sobre una nueva amenaza.
Se ha descubierto una nueva cepa de ransomware llamada “Underground team ransomware”, que presenta características distintivas en su nota de rescate y en sus métodos de ataque.
El ransomware Underground es una aplicación basada en GUI de 64 bits y utiliza varios comandos para llevar a cabo sus acciones maliciosas. Estos comandos incluyen la eliminación de copias de seguridad, la modificación de la configuración del registro y la detención del servicio MSSQLSERVER, entre otros.
Así mismo, el ransomware identifica los volúmenes del sistema utilizando funciones API y deja una nota de rescate en múltiples carpetas del sistema. A continuación, busca archivos y directorios para cifrar, excluyendo selectivamente nombres de archivo y extensiones, de igual forma carpetas específicas.
Vector de infección
El vector de distribución utilizado por los ciberdelincuentes para entregar el ransomware Underground team podría implicar tácticas de ingeniería social y engaño.
Los atacantes podrían utilizar correos electrónicos de phishing que contengan adjuntos maliciosos o enlaces a sitios web comprometidos. Estos correos electrónicos podrían estar diseñados para parecer legítimos y persuadir al usuario a abrir el archivo adjunto o hacer clic en el enlace, lo que llevaría a la ejecución del binario malicioso. También podrían emplear técnicas de descarga de archivos maliciosos disfrazados como actualizaciones de software o aplicaciones legítimas.
Recomendaciones
La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:
- Implementar contraseñas fuertes y únicas para todas las cuentas en línea.
- Evitar reutilizar contraseñas y considerar el uso de un administrador de contraseña confiable para generar y almacenar de forma segura las credenciales.
- Realizar copias de seguridad periódicas de los archivos importantes y guardarlas en un lugar seguro y fuera de línea.