Viro, una nueva botnet con capacidades de ransomware

Endpoint

25 SEP 2018

Una vez que Viro infecta una máquina, verificará la presencia de claves de registro para determinar si el sistema debe estar encriptado. También se convierte en parte de una botnet de spam que distribuye el ransomware a más víctimas de la lista de contactos.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Trend Micro pronosticó que los ataques de ransomware se estabilizarían, pero se diversificarían en términos de métodos de ataque. La actividad de ransomware en la primera mitad de año ha demostrado que esto era cierto, con métodos más innovadores para llevar a cabo los ataques. Un ejemplo de ello es la botnet Viro, detectada por Trend Micro como RANSOM_VIBOROT.THIAHAH, que cuenta con capacidades de ransomware y botnet, y que afecta a los usuarios en los Estados Unidos. Una vez que Viro infecta una máquina, también se convierte en parte de una botnet de spam que distribuye el ransomware a más víctimas.

La botnet Viro se observó por primera vez el 17 de septiembre. Una vez que Viro se haya descargado a una máquina, comprobará la presencia de claves de registro (GUID de la máquina y clave de producto) para determinar si el sistema debe cifrarse. El ransomware luego genera una clave de cifrado y descifrado a través de un generador criptográfico de números aleatorios. Junto con la clave generada, Viro envía los datos recopilados por la máquina a su servidor de C&C a través de POST, y a continuación comenzará su proceso de encriptación.

Después del cifrado, mostrará una nota de rescate. Curiosamente, a pesar de que el ransomware afecta a Estados Unidos, la nota de rescate fue escrita en francés. Viro también tiene una función de captura de teclas, y se conecta de nuevo a su servidor de C&C para enviar las pulsaciones de teclas registradas desde una máquina infectada. Una vez conectado al C&C, puede descargar archivos, posiblemente otro binario de malware, y ejecutarlo con PowerShell.

La capacidad de botnet se evidencia por el uso de la app Microsoft Outlook de una máquina infectada para enviar spam a la lista de contactos del usuario. Viro enviará una copia de sí mismo o un archivo malicioso descargado desde su servidor de C&C. El ransomware necesita establecer comunicación con su servidor de C&C para cifrar con éxito los archivos. Sin embargo, los investigadores de Trend Micro han comprobado que el servidor C&C de la botnet ha sido eliminado.

TAGS Ransomware, Botnet

Encuentros ITDM Group: El sector sanitario y su apuesta por las tecnologías más vanguardistas

En este encuentro ITDM Group analizamos cómo está progresando la industria sanitaria en su transformación digital y cómo impactarán las últimas tendencias e innovaciones tecnológicas a lo largo de este año. Para ello contamos con la colaboración de expertos de SEMIC (partner de Hewlett Packard Enterprise), TEHTRIS, THALES y B-FY.

Una vez que Viro infecta una máquina, verificará la presencia de claves de registro para determinar si el sistema debe estar encriptado. También se convierte en parte de una botnet de spam que distribuye el ransomware a más víctimas de la lista de contactos.

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO