El CCN-CERT analiza el ransomware EKing

El Centro Criptológico Nacional (CCN), ha elaborado un Informe de Código Dañino de la variante de ransomware Eking

Descripción

El objetivo de este ransomware es cifrar los ficheros de los sistemas infectados y secuestrarlos para, posteriormente, solicitar el pago de un rescate a cambio de la herramienta de descifrado.

Se trata de una variante de Phobos, familia de ransomware que apareció a principios de 2019. Debido a las diferentes extensiones que este ransomware ha utilizado (opción posiblemente personalizable en el builder), es frecuente encontrar referencias a este código dañino basadas únicamente en la extensión que añade a los ficheros cifrados. Tanto la nota de rescate como la nomenclatura de los documentos que han sufrido modificaciones recuerdan al ransomware Dharma, familia que evoluciona del ransomware Crysis y que surgió en 2016.

Estas variantes han estado relacionadas, históricamente, con accesos hacia las redes internas de compañías aprovechando servicios RDP expuestos a Internet. Sin embargo, hoy en día son tan numerosos los actores involucrados en ransomware, que es difícil relacionar una variante en concreto con un vector de entrada. Los grupos cibercriminales aprovecharán cualquier vector que les garantice el acceso ilícito a la red local.

Distribución

Por el momento, se ha detectado que el virus es más activamente distribuido a través de páginas torrent empaquetado con cracks de Adobe Acrobat. Sin embargo, tal como comentábamos, los administradores de ransomware pueden también explotar RDPs abiertas o difundir la carga explosiva a través de archivos adjuntos maliciosos spam (words, excel, powerpoint…).

Nota de rescate en formato HTA

Desinfección

Para evitar desencadenar la encriptación, es conveniente eliminar el ejecutable de las rutas donde se instala para asegurar la persistencia. En el informe del CNN se detalla la información.

Por el momento no existe un desencriptador que funcione, solo es posible mediante el uso de la clave privada del par master gestionada por los secuestradores, por lo que la evitar la ejecución de códigos maliciosos es la mejor prevención.

Prevención

Implementar medidas de seguridad en el correo electrónico para que no permitan el envío de adjuntos potencialmente maliciosos (.exe, .vbs, etc) y deshabilitar siempre la ejecución por defecto de las Macros en archivos ofimáticos (Word, Excel, Powerpoint…). Avisar siempre que el correo sea de procedencia externa a la organización para extremar precauciones.

Bloquear la ejecución de PowerShell en los equipos sin ser administrador.

Disponer de sistemas antivirus avanzados (EDR, ATP, etc) que detecten comportamientos extraños en memoria RAM.

Configurar el sistema según las premisas de Seguridad por defecto y Mínimos privilegios. Los usuarios deben tener muy limitados los accesos a los recursos de la empresa (no deben de ser administradores de la máquina y acceder solo a las carpetas necesarios en la red corporativa) disponiendo solo de los permisos justos y necesarios para su trabajo diario. Limitarle por defecto el acceso al usuario, limitará el alcance a un posible ataque de ransomware.

Disponer de Backups de los sistemas de informacion y seguir la regla de backups 3-2-1, y un buen plan de recuperacion.

Tener los sistemas actualizados siempre (sistemas operativos, aplicaciones, dispositivos hardware, firmware…). Para ello, lo mejor es poder elaborar un Plan de Mantenimiento.

Comparte este contenido:

Deja un comentario

Alertas de seguridad

Mantente informado, recíbelas a tu email