Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Viro, una nueva botnet con capacidades de ransomware

  • Endpoint

seguridad botnet

Una vez que Viro infecta una máquina, verificará la presencia de claves de registro para determinar si el sistema debe estar encriptado. También se convierte en parte de una botnet de spam que distribuye el ransomware a más víctimas de la lista de contactos.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Trend Micro pronosticó que los ataques de ransomware se estabilizarían, pero se diversificarían en términos de métodos de ataque. La actividad de ransomware en la primera mitad de año ha demostrado que esto era cierto, con métodos más innovadores para llevar a cabo los ataques. Un ejemplo de ello es la botnet Viro, detectada por Trend Micro como RANSOM_VIBOROT.THIAHAH, que cuenta con capacidades de ransomware y botnet, y que afecta a los usuarios en los Estados Unidos. Una vez que Viro infecta una máquina, también se convierte en parte de una botnet de spam que distribuye el ransomware a más víctimas.

La botnet Viro se observó por primera vez el 17 de septiembre. Una vez que Viro se haya descargado a una máquina, comprobará la presencia de claves de registro (GUID de la máquina y clave de producto) para determinar si el sistema debe cifrarse. El ransomware luego genera una clave de cifrado y descifrado a través de un generador criptográfico de números aleatorios. Junto con la clave generada, Viro envía los datos recopilados por la máquina a su servidor de C&C a través de POST, y a continuación comenzará su proceso de encriptación.

Después del cifrado, mostrará una nota de rescate. Curiosamente, a pesar de que el ransomware afecta a Estados Unidos, la nota de rescate fue escrita en francés. Viro también tiene una función de captura de teclas, y se conecta de nuevo a su servidor de C&C para enviar las pulsaciones de teclas registradas desde una máquina infectada. Una vez conectado al C&C, puede descargar archivos, posiblemente otro binario de malware, y ejecutarlo con PowerShell.

La capacidad de botnet se evidencia por el uso de la app Microsoft Outlook de una máquina infectada para enviar spam a la lista de contactos del usuario. Viro enviará una copia de sí mismo o un archivo malicioso descargado desde su servidor de C&C. El ransomware necesita establecer comunicación con su servidor de C&C para cifrar con éxito los archivos. Sin embargo, los investigadores de Trend Micro han comprobado que el servidor C&C de la botnet ha sido eliminado.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos