Nueva versión de GandCrab aún más difícil de detectar

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Desde que apareció por primera vez en enero de este año, el ransomware GandCrab se ha ido actualizando muy rápidamente, mejorando el código y haciéndolo más resistentes a detecciones o eliminaciones. Este mes ha llegado a su versión 5.0.2, para la que sus creadores se han asociado con NTCrypt, un servicio criptológico para ofuscar su código.

Cómo todos los ransomware, el objetivo principal de GandCrab es cifrar todos los archivos del sistema infectado y demandar una cantidad de criptodivisas para poder recuperar los archivos, de lo que no hay garantía en caso de pago. La nueva versión viene con las funciones de eliminación de archivos; descubrimiento de información en el sistema objetivo; ejecución a través de API y a través de WMIC; detección de productos antimalware y de seguridad; modificación del registro; descubrimiento de los árboles de directorio para buscar archivos a cifrar; descubrir recursos compartidos en red para cifrarlos; enumeración de procesos para poder eliminar algunos concretos; y elevación de privilegios.

Como señala Hispasec, esta versión viene con dos exploits que intentan escalar privilegios en el sistema. Uno de ellos es el recientemente lanzado exploit que intenta aprovechar un problema con el sistema de tareas de Windows cuando el sistema maneja incorrectamente las llamadas a un procedimiento local. El otro exploit que ejecuta es una elevación de privilegios en el sistema gracias a un objeto defectuoso en el token del proceso del sistema.