Defray, nuevo ransomware, dirigido a la industria de la salud y la educación

defray-ransomware

Los investigadores observaron una nueva, aunque pequeña y selectiva campaña de ransomware a principios de este mes dirigida tanto a la educación como a las verticales de atención médica. El ransomware, llamado Defray, viene escondido en adjuntos de documento de Microsoft Word manipulados, enviados por correo electrónico.

Los investigadores con Proofpoint , que vio dos ataques que cayeron el ransomware – uno el 15 de agosto, uno el 22 de agosto, dicen que aunque sea poco común, el malware no puede ser destinado para los ataques a gran escala.

Los investigadores tomaron el nombre del malware del nombre de su nombre de dominio del servidor de control y control: defrayable-listings [.] 000webhostapp [.] Com

En una campaña el documento de Word pretendía venir de un hospital del Reino Unido, el director de gestión de la información y la tecnología. En el otro, el Word doc se consideraba un acuario con sede en el Reino Unido y con ubicaciones internacionales, probablemente con SEA LIFE , un acuario con ubicaciones en Birmingham, Brighton y Manchester, con ubicaciones adicionales en los Estados Unidos, Australia y China.

En ambas situaciones, el malware apareció en un ejecutable incrustado, un objeto de shell de empaquetador OLE. Si un usuario hace doble clic, el ransomware, disfrazado como taskmgr.exe o explorer.exe, se elimina e instala.

El atacante pide $ 5.000 en notas de rescate que se cayeron en la máquina de la víctima, pero como señalan los investigadores, se incluyen varias direcciones de correo electrónico, presumiblemente del cibercriminal Igor Glushkov, para que las víctimas puedan “negociar un rescate más pequeño o hacer preguntas”.

Los investigadores dijeron que no entraron en los detalles de la rutina de cifrado, pero notaron que encripta una lista de tipos de archivos codificados, pero no cambia los nombres de las extensiones de archivo. En cuanto a, dicen los investigadores, es el hecho de que el ransomware puede ser bastante entrometido después de sus archivos cifrados terminados. En Windows 7 Defray mantendrá un registro de los programas en ejecución, como el administrador de tareas o cualquier navegador abierto, y matarlos con una GUI. Los investigadores dijeron que vieron el ransomware desactivar la recuperación de inicio y eliminar cualquier copia de sombra de volumen, algo que podría dibujar la ira de los administradores también.

Debido a que sólo se identificaron dos ataques específicos, los investigadores afirman que el ransomware no puede estar a la venta y en su lugar podría ser utilizado en forma privada, ya sea como una entidad con licencia o como un servicio. Por esta razón, es menos probable que Defray se propague a mayor escala, aunque podría seguir utilizándose en ataques limitados y específicos, sugieren los investigadores.

Los investigadores de Black Hat el mes pasado presentaron un controlador y un sistema de archivos adicionales de Windows que podrían ayudar a los usuarios a frustrar los ataques de ransomware como Defray. La herramienta, ShieldFS , ideada por investigadores italianos, detectó más de una docena de variedades de ransomware el 97 por ciento del tiempo. Aunque aún no está disponible para el público en general, ShieldFS bloquea el malware cuando se detecta. Una característica separada mientras tanto permite que los archivos originales almacenados en una impulsión dura sean preservados y recuperados más adelante.

 

Fuente: threatpost

Anuncios


Categorías:Seguridad Informática y de la Información

Etiquetas:,

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: