21 de noviembre de 2024

Fortinet detecta actividad de ransomware orientada a mercados de habla hispana

Nicolás Schiller 15 de noviembre de 2022
Escucha este Artículo

De acuerdo con el último reporte “Ransomware Roundup” de FortiGuard Labs, el laboratorio de inteligencia de amenazas de Fortinet, se ha visto nueva actividad del ransomware Inlock dirigida a mercados de habla hispana y una nueva variante del ransomware Xorist que parece apuntar a Cuba.

FortiGuard Labs recopila datos sobre variantes de ransomware que están teniendo alta actividad se acuerdo a un conjunto de datos de recolección propia y de la industria. Con esta información se elabora el reporte bisemanal “Ransomware Roundup” que brinda perspectivas sobre el panorama cambiante del ransomware, junto con las soluciones de Fortinet que protegen contra esas variantes.

A continuación un detalle del último reporte:

  • Plataformas afectadas: usuarios de Microsoft Windows
  • Impacto: cifrado de archivos en dispositivos comprometidos y exigencia de rescate por el descifrado
  • Nivel de gravedad: alta

Nueva variante del ransomware Inlock

Inlock es un ransomware típico que encripta archivos en una máquina comprometida y exige un rescate de la víctima a cambio de recuperar los archivos afectados. Los documentos cifrados por esta última variante tienen una extensión de archivo «.inlock». Luego deja una nota de rescate titulada READ_IT.txt, que contiene un mensaje de rescate en español, lo que hace suponer que está dirigido a víctimas en países de habla hispana como los de América Latina y parte del Caribe.

Screenshot of Figure 1. Ransom message dropped by Inlock ransomware

También modifica el fondo de pantalla del escritorio:

Screenshot of Figure 2. Desktop Wallpaper replaced by Inlock ransomware

Una aparente falla de diseño en el ransomware Inlock es que no proporciona ninguna información de contacto para que las víctimas puedan comunicarse con el atacante para negociar el descifrado de archivos. Sin información de contacto disponible del atacante, las víctimas no pueden recuperar sus archivos cifrados.

Nueva variante del ransomware Xorist

FortiGuard Labs también descubrió recientemente una nueva variante del ransomware Xorist, este ransomware ha estado en actividad durante al menos cinco años y algunos informes sugieren que su vida útil se ha acercado a una década.

Se ha descubierto recientemente una nueva variante del ransomware Xorist, ejecutable a través de una campaña de phishing que parece apuntar a víctimas en Cuba. El archivo ejecutable del ransomware se llama «Ley del Presidente y Vicepresidente de la República de Cuba.pdf.exe». Esta campaña se envió coincidentemente con la distribución del archivo PDF legítimo «Ley del Presidente y vicepresidente de la República de Cuba.pdf» que está etiquetado como la “Gaceta Oficial de la República de Cuba” sobre la Asamblea Nacional del Poder Popular celebrada a fines de 2020.

El atacante creó este archivo para distribuir la variante Xorist, un PDF falso que intenta engañar a las víctimas haciéndoles creer que han abierto un archivo legítimo emitido por el gobierno cubano. A continuación la imagen del archivo falso:

Sscreenshot of Figure 3. Benign PDF file included in “Ley del Presidente y Vicepresidente de la República de Cuba.pdf.exe”

Esta variante del ransomware Xorist deja la siguiente una nota de rescate en español:

Screenshot of Figure 4. Ransom message dropped by the Xorist ransomware variant

El ransomware también reemplaza el fondo de pantalla del escritorio con un mensaje de rescate e incluye un código QR con la dirección de la billetera Bitcoin del atacante. Al momento de publicar el reporte, esta billetera no había registrado ninguna transacción.

Screenshot of Figure 5. Desktop wallpaper with QR code replaced by the Xorist ransomware variant

¿Qué hacer para protegerse?

Los clientes de Fortinet ya están protegidos contra estas variantes de ransomware a través de los servicios de filtrado web, antivirus, FortiMail, FortiClient y FortiEDR. La inteligencia de amenazas de las soluciones de Fortinet, alimentada por FortiGuard Labs, detecta estas variantes con las siguientes firmas AV: W32/Filecoder.Q!tr.ransom, W32/PossibleThreat

Dado que la mayoría del ransomware se entrega a través de phishing, las organizaciones deberían considerar capacitar a los usuarios para que comprendan y detecten las amenazas de phishing. El Servicio de Concientización y Capacitación en Ciberseguridad para emprensa incluye un módulo sobre amenazas de Internet, diseñado para ayudar a los usuarios finales a aprender cómo identificar y protegerse de varios tipos de ataques de phishing y se puede agregar fácilmente a los programas de capacitación internos.

Las organizaciones deberán realizar cambios fundamentales en la frecuencia, la ubicación y la seguridad de sus copias de seguridad de datos para hacer frente de manera eficaz al riesgo de ransomware que evoluciona y se expande rápidamente. Para minimizar el riesgo y reducir el impacto de un ataque de ransomware exitoso, es importante evaluar soluciones de seguridad basadas en la nube, como SASE, para proteger dispositivos fuera de la red; seguridad avanzada de endpopint, como soluciones EDR (detección y respuesta de endpoint) que pueden interrumpir el malware en medio de un ataque; y las estrategias de segmentación de red y Zero Trust Access que restringen el acceso a aplicaciones y recursos en función de la política y el contexto.

Las fuerzas del orden y las organizaciones de seguridad advierten a las víctimas de ransomware que no paguen un rescate, en parte porque el pago no garantiza que se recuperarán los archivos. Además, los pagos de rescate pueden animar a los cibercriminales a apuntar a otras organizaciones y alentarlos a financiar otras actividades potencialmente ilegales.

Acerca de Fortinet

Fortinet (NASDAQ: FTNT) hace posible un mundo digital en el que siempre podemos confiar a través de su misión de proteger las personas, los dispositivos y los datos en todas partes. Esta es la razón por la que las empresas, los proveedores de servicios y las organizaciones gubernamentales más grandes del mundo eligen Fortinet para acelerar de forma segura su recorrido digital. La plataforma Fortinet Security Fabric ofrece protección amplia, integrada y automatizada en toda la superficie de ataque digital, asegurando dispositivos, datos, aplicaciones y conexiones críticas desde el centro de datos hasta la nube y la oficina en el hogar. En el puesto número 1 con la mayor cantidad de dispositivos de seguridad enviados en todo el mundo, más de 595.000 clientes confían en Fortinet para proteger sus negocios. Además, el Fortinet NSE Training Institute, una iniciativa dentro de la Training Advancement Agenda (TAA) de Fortinet, ofrece uno de los programas de capacitación más grandes y amplios de la industria para hacer que la capacitación en ciberseguridad y las nuevas oportunidades profesionales estén disponibles para todos. Obtenga más información en https://www.fortinet.com/lat, el blog de Fortinet o FortiGuard Labs.

FTNT-O

Copyright © 2019 Fortinet, Inc. Todos los derechos reservados. Los símbolos ® y™ denotan respectivamente marcas registradas a nivel federal y marcas comerciales de Fortinet, Inc., sus subsidiarias y afiliadas. Las marcas de Fortinet incluyen, pero no se limitan a, las siguientes: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiASIC, FortiMail, FortiClient, FortiSIEM, FortiSandbox, FortiWiFi, FortiAP, FortiSwitch, FortiWeb, FortiADC, FortiWAN, y FortiCloud. Las demás marcas comerciales pertenecen a sus respectivos propietarios. Fortinet no ha verificado de forma independiente las declaraciones o certificaciones aquí atribuídos a terceros, y no avala de forma independiente dichas declaraciones. No obstante, cualquier disposición en contrario en este documento, nada constituye una garantía, aseguranza, especificación obligatoria u otro compromiso vinculante por parte de Fortinet, y el desempeño y otra información de las especificaciones en este documento pueden ser únicas para ciertos entornos. Este comunicado de prensa puede contener declaraciones a futuro que implican incertidumbres y suposiciones, como declaraciones sobre lanzamientos de tecnología, entre otros. Los cambios de circunstancias, los retrasos de lanzamiento de productos, u otros riesgos como se indica en los documentos presentados ante la Comisión de Bolsa y Valores, ubicada en www.sec.gov, puede provocar que los resultados difieran materialmente de aquellos expresados o implícitos en este comunicado de prensa. Si las incertidumbres se materializan o las suposiciones resultan incorrectas, los resultados pueden diferir materialmente de aquellos expresados o implícitos en dichas declaraciones y suposiciones a futuro. Todas las declaraciones que no sean declaraciones de hechos históricos son declaraciones que podrían considerarse como declaraciones prospectivas. Fortinet no asume ninguna obligación de actualizar las declaraciones sujetas a riesgos e incertidumbres y expresamente renuncia a cualquier obligación de actualizar estas declaraciones prospectivas.

Más historias

Claro se convierte en el primer socio CMSP de Oracle en Colombia

Nicolás Schiller 21 de noviembre de 2024

Ciberfraude en alza: impulsado por la tecnología y fallos humanos

Nicolás Schiller 21 de noviembre de 2024

¿Por que deberías instalar y confiar en Truecaller?

Nicolás Schiller 21 de noviembre de 2024
PortalGeek YT
TikTok
Instagram
Lo llamamos Twitter
Facebook