Ransomware como distracción
El cifrador HermeticRansom se utilizó como distracción para respaldar ataques de HermeticWiper. En términos generales, HermeticRansom, también conocido como Elections GoRansom, es un cifrador muy simple. Lo que resulta interesante es el propósito para el que los atacantes lo están utilizando. Objetivos de HermeticRansom HermeticRansom atacó computadoras al mismo tiempo como otro malware conocido como […]
El cifrador HermeticRansom se utilizó como distracción para respaldar ataques de HermeticWiper.
En términos generales, HermeticRansom, también conocido como Elections GoRansom, es un cifrador muy simple. Lo que resulta interesante es el propósito para el que los atacantes lo están utilizando.
Objetivos de HermeticRansom
HermeticRansom atacó computadoras al mismo tiempo como otro malware conocido como HermeticWiper, y, de acuerdo con la información pública disponible de la comunidad de seguridad, se utilizó en ciberataques recientes en Ucrania. De acuerdo con nuestros expertos, la simplicidad relativa y la implementación cuestionable del flujo de trabajo del malware parecen indicar que HermeticRansom se utilizó como una cortina de humo para ataques de HermeticWiper.
Qué es lo que HermeticRansom puede hacer
Una vez que infecta la computadora de la víctima, el malware primero identifica los discos duros y recopila una lista de directorios y archivos ubicados en cualquier lugar, excepto en las carpetas Windows y Archivos de Programa. Después cifra ciertas categorías de archivos y los renombra añadiendo una etiqueta .cifrado y la dirección de correo electrónico de los operadores del ransomware. El malware también crea un archivo read_me.html en la carpeta Escritorio que contiene una nota de rescate con la información de contacto de los atacantes. La nota se ve así:
Nota de rescate dejada por el malware HermeticRansom
HermeticRansom cifra los archivos con las siguientes extensiones: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi y odt.
Singularidades de HermeticRansom
HermeticRansom está escrito en Golang. No utiliza mecanismos de oscurecimiento, y el método de crifrado mismo es algo engorroso e ineficiente. A juzgar por estas y otras señales, nuestros expertos piensan que este malware fue creado con prisa.
Cómo protegerse
Las soluciones de seguridad de Kaspersky Lab detectan con éxito el malware HermeticRansom y amenazas de este tipo. Contamos con una gama de herramientas para proteger tanto las computadoras caseras como la infraestructura corporativa, incluido:
- Kaspersky Internet Security: nuestra solución de seguridad multiplataforma para usuarios domésticos.
- Kaspersky Endpoint Security Cloud: nuestra solución para protección de empresas.
- Kaspersky Anti-Ransomware Tool: nuestra solución corporativa gratuita que puede funcionar como una capa de protección adicional en paralelo con productos de otros proveedores.
Artículo redactado por los especialistas de Kasperki que nos ayudan a mantener la seguridad informática de la Unión Argentina.
