Compartir

El nuevo informe de Kaspersky ICS CERT revela el comportamiento del ransomware Snake, responsable de ataques a varias empresas en los últimos meses.

22 de junio de 2020

El nuevo informe publicado por Kaspersky ICS CERT hace un análisis sin precedentes del comportamiento del ransomware Snake (o Ekans), responsable de paralizar actividades industriales en los últimos meses, después de ataques a empresas en diferentes partes del mundo.

Según el documento, Snake, capaz de cifrar y evitar que una empresa acceda a documentos empresariales, actúa de manera específica, disfrazándose con los mismos dominios y direcciones IP de las redes invadidas para obtener acceso libre y realizar el cifrado de archivos. Esta información también indicaría que la acción de Snake representa solo el último de una serie de pasos coordinados previamente. Antes de estructurar el ransomware, por ejemplo, los ciberdelincuentes necesitan descubrir los registros de direcciones de sus objetivos y, en algunos casos, obtienen estos datos a través de servidores DNS públicos.

Todas las muestras analizadas fueron bloqueadas por las soluciones de seguridad de Kaspersky, basadas en el modelo original del ransomware Snake, identificado en diciembre de 2019.

Los principales hallazgos de Kaspersky ICS CERT sobre el ransomware Snake están a continuación:

• El malware inició usando un archivo “nmon.bat”. Los productos de Kaspersky detectaron el archivo en las carpetas de script de la política de dominio.

• La única diferencia entre todas las muestras del ransomware Snake identificadas es el nombre de dominio y la dirección IP incorporada en el código.

• La dirección IP en el código del malware se compara con la dirección IP de la máquina infectada, si el malware es capaz de identificarlo.

• El malware solo cifra los datos de la máquina infectada si la dirección IP del dispositivo y la que está presente en el código del malware son las mismas.

• La combinación de dirección IP y nombre de dominio incorporado en el código del malware es única para cada ataque identificado. Al parecer, esto es válido para la red interna de la organización objetivo de los ataques.

• En algunos casos, los nombres de dominio pueden haberse obtenido de servidores públicos (DNS), mientras que la información sobre las direcciones IP asociadas con estos aparentemente se almacena en servidores DNS internos. Como resultado, tal información solo está disponible cuando se envían solicitudes DNS desde las redes internas invadidas.

• Además del nombre de dominio y la dirección IP de la organización, ambos incorporados en el código de malware, las nuevas muestras de Snake son diferentes de aquellas identificadas en diciembre de 2019. Esto se debe a que tienen una lista amplia de extensiones de archivos (errores tipográficos) que el malware debería encriptar. Los ejemplos incluyen extensiones para archivos de unidades virtuales, Microsoft Access, código fuente en С / C # / ASP / JSP / PHP / JS, así como los archivos correspondientes para proyectos, soluciones y otras extensiones que no fueron compatibles con muestras anteriores.

Para identificar las señales de un ataque del ransomware Snake y prevenir posibles daños, Kaspersky ICS CERT recomienda:

• Utiliza los índices de compromiso proporcionados para identificar infecciones en estaciones de trabajo y servidores de Windows (Revisa aquí).

• Revisa las políticas de dominio y los scripts en busca de código malicioso.

• Busca tareas activas en Windows Task Scheduler, tanto en estaciones de trabajo como en servidores, para encontrar algún código malicioso.

• Cambia las contraseñas para todas las cuentas en el grupo de administradores de dominio.

Consulta el informe completo en el sitio web de Kaspersky ICS CERT.

 

Acerca de Kaspersky

Kaspersky es una empresa de ciberseguridad global fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 250,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com.

Contacto para prensa

JeffreyGroup México

Eduardo Santiago

esantiago@jeffreygroup.com

T: +52 (55) 5281-1121 Ext. 146

Compartir