Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Snatch, un ransomware que logra evadir la seguridad de equipos Windows

  • Endpoint

seguridad ransomware

Como muchas otras campañas de ransomware, los atacantes buscan puertos de Escritorio Remoto (RDP) expuestos para acceder a sistemas Windows. Una vez dentro, Snatch cifra los datos solo después de reiniciar los PC en modo seguro, evitando así gran parte del software de seguridad.

El equipo de Managed Threat Response (MTR) de Sophos advierte de un ransomware que utiliza un nuevo truco para evitar la detección: cifrar los datos solo después de reiniciar los PC Windows en “modo seguro”, logrando con ello evitar gran parte del software de seguridad de endpoint, que a menudo no se carga cuando el modo seguro está en funcionamiento.

Se trata del ransomware Snatch, que comienza como muchas otras campañas de ransomware que actualmente apuntan a redes empresariales. Los atacantes buscan puertos de Escritorio Remoto (RDP) débilmente protegidos para abrirse paso en los servidores de Azure, y moverse lateralmente a los controladores de dominios de Windows. Para vencer la protección del software local, su enfoque es cargar un servicio de Windows llamado SuperBackupMan que no se puede detener o pausar, lo que agrega una clave de registro que garantiza que el destino se iniciará en modo seguro después de su próximo reinicio. Solo después de que esto haya sucedido, y la máquina haya entrado en modo seguro, ejecuta una rutina que elimina las instantáneas de volumen de Windows, después de lo cual cifra todos los documentos que detecta en el destino.

Usar el modo seguro para evitar la seguridad tiene sus ventajas y desventajas. En muchos casos, funciona, ya que el software de seguridad que no espera esta técnica es fácilmente omitido. Lo complicado es que aún debe ejecutar su falso servicio de Windows, que se basa en irrumpir controladores de dominio para distribuirlo a los objetivos dentro de la red.

Reiniciar en modo seguro tampoco superará el inicio de sesión de Windows, lo que en teoría le da a un usuario alertado la posibilidad de detener el cifrado. Sin embargo, esto no ha impedido que tenga mucho éxito.

TAGS Ransomware

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos