Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Nueva versión de GandCrab aún más difícil de detectar

  • Endpoint

seguridad ransomware

Para la versión 5.0.2 los desarrolladores del ransomware cuentan con NTCrypt, un servicio dedicado a la ofuscación de malware que permite evadir los antivirus. Además, viene con dos exploits que intentan escalar privilegios en el sistema.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Desde que apareció por primera vez en enero de este año, el ransomware GandCrab se ha ido actualizando muy rápidamente, mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones. Este mes ha llegado a su versión 5.0.2, para la que sus creadores se han asociado con NTCrypt, un servicio criptológico para ofuscar su código.

Cómo todos los ransomware, el objetivo principal de GandCrab es cifrar todos los archivos del sistema infectado y demandar una cantidad de criptodivisas para poder recuperar los archivos, de lo que no hay garantía en caso de pago. La nueva versión viene con las funciones de eliminación de archivos; descubrimiento de información en el sistema objetivo; ejecución a través de API y a través de WMIC; detección de productos antimalware y de seguridad; modificación del registro; descubrimiento de los árboles de directorio para buscar archivos a cifrar; descubrir recursos compartidos en red para cifrarlos; enumeración de procesos para poder eliminar algunos concretos; y elevación de privilegios.

Como señala Hispasec, esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta aprovechar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local. El otro exploit que ejecuta es una elevación de privilegios en el sistema gracias a un objeto defectuoso en el token del proceso del sistema.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos