Los investigadores descubrieron una nueva versión del Dharma ransomware que utiliza herramientas antivirus legales para la redirección de la atención de las víctimas, mientras que todos los tipos de archivos en el PC cifran en el modo de fondo.
reransomware Harma es famoso desde 2016, pero aún se mueve a través de Internet y persigue a las organizaciones de todo el mundo. La acción de la famosa Dharma tuvo lugar en noviembre 2018, cuando extorsionadores hospital en Texas y los archivos cifrados infectados de su red. por suerte, el hospital logró restablecer sin pagar compra.Parece que este tipo de ataques deben ser bien estudiado y sus consecuencias neutralizado, sin embargo, TrendMicro recientemente descubierto nuevas especies de extorsiones Dharma. Adicionalmente, de malware adquirido nuevas tácticas.
Ataque comienza con un correo electrónico, Por ejemplo, de Microsoft.
De acuerdo con el mensaje de que el usuario recibe, su equipo es supuestamente bajo amenaza, y es necesario instalar el software antivirus de inmediato. Para hacerlo, los usuarios tenían que descargar el archivo propuesto. Este archivo normalmente contiene software extorsionistas y legal y bien conocido para los usuarios ESET AV Remover, una herramienta antivirus de ESET Compañía para la eliminación de los análisis antivirus instalado desde el ordenador.
Sin importar si los usuarios van a completar la instalación de AV Remover o no, extorsionista encripta todos los archivos de tipos en el fondo. Finalmente, los usuarios tendrán que pagar para el descifrado de los archivos.
“Los cibercriminales tienen antecedentes de abuso con los documentos públicos. Y esta práctica reciente de la explotación instalador como una distracción es un método más experimentan con”- dice Rafael Senteno de la compañía de antivirus TrendMicro.
empresa ESET fue informado acerca de la explotación de sus productos para la promoción de Dharma ransomware y sus representantes encontrado necesario argumentar:
“El caso describe la práctica bien conocida para el malware que se incluye con aplicación legítima(S). En el caso específico de Trend Micro está documentando, se utilizó un removedor oficial y sin modificar AV ESET. sin embargo, cualquier otra aplicación podría ser utilizado de esta manera. La razón principal es distraer al usuario, esta aplicación se utiliza como una aplicación de señuelo. ESET ingenieros de detección de amenazas han visto varios casos de ransomware envasados en paquetes auto-extracto junto con algunos archivos limpios o truco / keygen / agrietarse recientemente. Así que esto no es nada nuevo “.
TrendMicro da recomendaciones sobre la protección de cosas similares.
- pasarelas de correo electrónico seguro para frustrar amenazas a través de correo no deseado y evitar abrir correos electrónicos sospechosos.
- Realice copias de seguridad de archivos.
- Mantener actualizados los sistemas y aplicaciones, o el uso de parches virtuales para el legado o de sistemas y software de unpatchable.
- Aplicar el principio de privilegio mínimo: Seguras administraciones sistema de herramientas que los atacantes podrían abusar;
- Aplicar la segmentación de red y la categorización de datos para minimizar aún más la exposición de los datos de misión crítica y sensibles; y desactivar terceros o componentes obsoletos que se podría utilizar como puntos de entrada.
- Implementar la defensa en profundidad: capas adicionales de seguridad como el control de la aplicación y la supervisión de comportamiento ayuda a impedir modificaciones no deseadas en el sistema o ejecución de archivos anómalos.
- Fomentar una cultura de la seguridad en el lugar de trabajo
Fuente: https://blog.trendmicro.com
