Si has descargado esta herramienta y aún no has procedido a su instalación es mejor que elimines de manera inmediata el ejecutable. Tras varias horas recibiendo reportes, varios expertos en seguridad han confirmado que la página web de la herramienta Ammyy Admin ha sido hackeada, distribuyendo durante varias horas una copia del ransomware Cerber.
Aunque ha sido en las últimas horas cuando más reportes se han recogido, en VirusTotal han concretado que desde el día 14 de este mismo mes hasta el día de hoy han sido varios los usuarios que han enviado el instalador de esta herramienta para ser examinado, aportando resultados positivos como malware.
Varios expertos en seguridad han recibido durante el día de hoy que al ejecutar el instalador y proceder con el proceso la mayoría de los archivos almacenados en su equipo ahora están cifrados sin ningún tipo de explicación.
El problema es que la distribución de la amenaza no ha sido continua, algo que ha descolocado a expertos y empresas de seguridad. Cuando procedían a verificar el instalador que se distribuía este de nuevo era legítimo, ya que los responsables del software actuaban y retiraban el ransomware. Sin embargo, ahora ha coincidido y se ha confirmado que durante los últimos días la página web de la herramienta Ammyy Admin ha distribuido en varias ocasiones el ransomware Cerber.
En realidad hay que decir que el ejecutable original no ha dejado de descargarse en ningún momento, algo que ha dificultado un poco la detección de la amenaza y que los usuarios se percatasen de lo que sucedía.
Los ciberdelincuentes han empaquetado la amenaza dentro del instalador de AA_v3.exe
Es decir, mientras los usuarios veían la descarga del archivo AA_v3.exe, a la vez se realizaba la descarga de encrypted.exe, instalador de la copia de Cerber, que se ejecutará de forma simultánea junto con la instalación de la herramienta.
Pero hay que reconocer que en esta ocasión llueve sobre mojado y que los ciberdelincuentes ya se han aprovechado de este sitio web en varias ocasiones. Y es que en el último año al menos han sido seis las ocasiones en las que los usuarios han descargado algún tipo de amenaza informática cuando querían hacer uso del instalador de la herramienta de control remoto.
En el momento de escribir esta noticia parece que los contenidos vuelven a ser legítimos, sin embargo, los expertos en seguridad recomiendan no recurrir al software de esta página hasta que pasen un par de días y asegurar al 100% que los ataques han cesado.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
