Unos se van, pero llegan otros. Los ciberdelincuentes siempre tienen una bala en la recámara. Expertos en seguridad han detectado un nuevo ransomware llamado Anubi y que se está distribuyendo a través de Internet. Los objetivos de esta amenaza son los equipos que estén dotados de un sistema operativo Windows, llevando a cabo el cifrado de la información de determinadas carpetas.
Los usuarios afectados por esta amenaza observarán que, en su equipo, los archivos poseen una nueva extensión. Para ser más exactos es .[anubi@cock.li].anubi. Todos los archivos que posean esta extensión están cifrados, y por lo tanto, son inaccesibles.
Los expertos en seguridad han determinado que, la primera operación que realizar la amenaza informática nada más instalarse en el dispositivo es alcanzar persistencia en el sistema. O lo que es lo mismo, la capacidad para ejecutarse cada vez que el equipo se encienda. para ello, realiza modificaciones en el registro de Windows para esto sea así. Anubi arranca cada vez que la sesión del usuario infectada se inicia. Cada vez que se realiza esta operación, realiza una comprobación de las unidades de disco conectadas el PC infectado, para comprobar si es posible realizar el cifrado de más archivos. Hay que decir que el cifrado no se acota solo a unidades internas, también todas las extraibles que se conecten.
Incluso aquellos equipos que posean ubicaciones de red mapeadas corren peligro de que los archivos contenidos en estas se vean afectados. Los expertos en seguridad recomiendan que, ante la menor duda de que el equipo pueda estar infectado, la mejor opción es aislarlo, es decir, desconectarlo de la LAN para evitar que el problema se extienda.
Más detalles sobre el ransomware Anubi
Ya hemos indicado cuál es la extensión utilizada. Lo que no hemos dicho aún, es que la amenaza ofrece al usuario un fichero de ayuda que posee el nombre de __READ_ME__.txt en el que el usuario encontrará toda la información relacionada con la infección que ha tenido lugar.
Obviamente, se explica todo lo relacionado con el pago de la cantidad indicada. Este archivo posee un ID único que se genera en cada una de las infecciones realizadas. O lo que es lo mismo, el identificador que el usuario debería utilizar a la hora de realizar el pago.
Tal y como es de imaginar, es una operación que queda totalmente desaconsejada por los expertos en seguridad.
Cifrado lento que puede dar alguna oportunidad al usuario
Una buena noticia para el usuario es que el cifrado de la información es sumamente lento. Pueden pasar varias horas desde que la amenaza se inicia por primera vez hasta que podemos comprobar que el número de archivos afectados es significativo. Esto nos permitiría minimizar los daños sufridos.
Es cierto que en estos casos, la mejor forma de evitar posibles pérdidas de información es recurrir a los puntos de restauración del sistema o copias de seguridad.
En lo que se refiere a la detección de los software antivirus, no parece que esté claro cuáles son las herramientas que sí detectan la amenaza justo a tiempo. Por el momento parece que son una minoría. Por lo tanto, conviene no abrir archivos cuya procedencia sean correos electrónicos desconocidos o páginas web cuyo contenido puede ser de legitimidad dudosa.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
