Este tipo de amenazas preocupa no solo a los usuarios, sino también a grandes empresas. El cifrado de los datos y su posterior pérdida es algo que atemoriza a prácticamente todo el mundo y por este motivo desde el FBI y Microsoft están alertando de la presencia de un nuevo ransomware en la red, conocido con el nombre de Samas.
Conocido también con el nombre de Kadi, este malware se activó hace tres meses en Europa y Asia, aunque ha sido en Estados Unidos donde más repercusión ha tenido. Tampoco está muy claro cuáles son los objetivos reales de esta amenaza, ya que desde Redmond informan de que tanto usuarios domésticos como administradores de servidores deben extremar las precauciones y en el caso del FBI sostiene que son los servidores con vulnerabilidad lo principales objetivos de esta amenaza.
Algunos investigadores apuntan a que el ransomnware aprovecha fallos de seguridad en instalaciones JBOSS y aplicaciones Java para llegar al sistema de ficheros de los servidores de forma que podía considerarse más o menos sigilosa.
Una vez ha conseguido asentarse en el sistema, la amenaza hace uso de la herramienta reGeorg para crear un mapa de red y así ver qué opciones de expansión posee.
Samas, al igual que otras amenazas, cifra los archivos
Aunque pueda parecer distinto del resto, la realidad es que no es así y sigue el mismo procedimiento que otros ransomware. Una vez ha realizado todo lo citado con anterioridad procede a la búsqueda de los archivos y el cifrado ayudándose de RSA de 2048 bits. Tal y como es de imaginar, una vez realizado este proceso la amenaza solicita el pago de una cantidad para recuperar el acceso a los datos, concretamente 1 Bitcoin que equivale aproximadamente a 400 dólares.
Un blog de WordPress para gestionar los pagos
Lo que sí dista y mucho de otras amenazas es la forma de gestionar e informar sobre el proceso para realizar los pagos, ya que la amenaza cuenta con un blog que utiliza este gestor de contenidos en el que se puede encontrar información sobre cómo realizar el proceso de pago y el de descifrado una vez realizado este.
Tal y como era de esperar, pronto la web dejó de estar operativa, por lo que los ciberdelincuentes han tomado la decisión de alojar una página en la conocida como Dark Web para gestionar todo lo mencionado con anterioridad.
vssadmin.exe o cómo perder las copias de seguridad
Hace poco hemos mencionado que pronto este tipo de amenazas afectarían a los copias de seguridad, lo que no esperábamos es que todo esto sucediese tan pronto. La amenaza crea un proceso que es el encargado de buscar las carpetas ocultas y aquellas que posean copias de seguridad para llevar a cabo su borrado. Por lo tanto, conviene tener mucho cuidado y comenzar a cambiar los hábitos en lo referido a copias de seguridad, evitando almacenarlas en el mismo equipo.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
