ClickCease Un nuevo ransomware utiliza tácticas únicas para corromper datos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Un nuevo ransomware utiliza tácticas únicas para corromper datos

6 de octubre de 2022 - Equipo de relaciones públicas de TuxCare

Los actores de amenazas están actualizando la herramienta de exfiltración de datos Exmatter con una función única de corrupción de datos, que los atacantes podrían cambiar para realizar ataques de ransomware en el futuro.

La nueva y exclusiva función de corrupción de datos fue descubierta por analistas de malware que trabajaban con el equipo de operaciones especiales de Cyderes durante la respuesta a un incidente reciente.

Básicamente, esta táctica implica el uso de datos de un archivo exfiltrado para dañar otro archivo. Los investigadores de seguridad creen que se trata de un intento de eludir la detección basada en heurística de ransomware o wiper, que podría activarse si se utilizan datos generados aleatoriamente.

"A medida que los archivos se cargan en el servidor controlado por el actor, los archivos que se han copiado con éxito en el servidor remoto se ponen en cola para ser procesados por una clase llamada Eraser. Un segmento de tamaño aleatorio que comienza al principio del segundo archivo se lee en un búfer y luego se escribe al principio del primer archivo, sobrescribiéndolo y corrompiendo el archivo".

Los investigadores creen que la nueva herramienta cambiará la estrategia utilizada por los afiliados al ransomware. Las operaciones de ransomware llevan mucho tiempo funcionando como Ransomware-as-a-Service, lo que significa que los operadores/desarrolladores se encargan de desarrollar el ransomware, el sitio de pago y gestionar las negociaciones, mientras que los afiliados se unen para romper las redes corporativas, robar datos, borrar copias de seguridad y cifrar dispositivos.

Sin embargo, la estructura pone a los afiliados en desventaja. Las operaciones de ransomware introducen fallos que permiten a los investigadores de seguridad crear desencriptadores que pueden ayudar a las víctimas a recuperar archivos de forma gratuita.

Aunque el acuerdo de pago implica que los operadores del ransomware reciben entre el 15 y el 30%, mientras que los afiliados reciben el resto, éstos pierden, en los casos en que los investigadores de seguridad crean un descifrador, todos los ingresos potenciales, que habrían recibido como parte del pago de un rescate.

Sin embargo, con la nueva función de corrupción de datos, se podría pasar de los ataques tradicionales de ransomware, en los que se roban datos y luego se cifran, a ataques en los que se roban datos y luego se borran o dañan.

El método permite a los afiliados quedarse con todos los ingresos de un ataque, ya que no tienen que compartir un porcentaje con el desarrollador del cifrado.

Las fuentes de este artículo incluyen un artículo en BleepingComputer.

Resumen
Un nuevo ransomware utiliza tácticas únicas para corromper datos
Nombre del artículo
Un nuevo ransomware utiliza tácticas únicas para corromper datos
Descripción
Los actores de amenazas están actualizando la herramienta de exfiltración de datos Exmatter con una función única de corrupción de datos que permite su destrucción.
Autor
Nombre del editor
Tuxcare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín