- Sophos ha identificado una nueva variante de ransomware llamada WantToCry que cifra archivos de forma remota después de la filtración, reduciendo las oportunidades de detección.
- Los atacantes explotan los servicios SMB expuestos con credenciales débiles y luego sobrescriben los archivos de las víctimas con versiones cifradas.
- Las demandas de rescate son inusualmente bajas, entre 600 y 1.800 dólares, lo que refleja el alcance limitado y la falta de influencia amplia en la red.
El investigador de seguridad Sophos ha observado una nueva variante de ransomware llamada WantToCry que, gracias a su proceso de cifrado, es mucho más difícil de identificar que los cifradores tradicionales.
En un análisis en profundidad, Sophos dijo que los atacantes primero usarían escáneres como Shodan o Sensis para encontrar dispositivos conectados a Internet utilizando el servicio Server Message Block (SMB).
SMB es un protocolo de intercambio de archivos en red que permite a las computadoras acceder a archivos y otros recursos en una red local como si estuvieran en sus propios sistemas. Se usa ampliamente en entornos de Microsoft Windows para habilitar la autenticación de red y unidades compartidas y permite que las aplicaciones administren archivos en servidores remotos.
Quieren cientos en lugar de lakhs
Después de encontrar servicios SMB con los puertos TCP 139 y 445 abiertos, probarán las credenciales predeterminadas, de uso frecuente y débiles hasta que funcionen y otorguen acceso.
Sin embargo, una vez dentro, WantToCry no hace lo que normalmente hacen los cifradores y bloquea los archivos localmente. En lugar de ello, primero los extraen y realizan la parte de cifrado en el servidor remoto. Después de eso, volverán a implementar los archivos cifrados en los dispositivos de la víctima, sobrescribiéndolos y dejándolos inútiles sin la clave de descifrado.
Este proceso dificulta el trabajo de los defensores:
“La superficie de detección se reduce significativamente porque WantToCry funciona sin ejecución de malware nativo y no hay actividad posterior al compromiso más allá de filtrar archivos y reescribirlos en el disco”, explicó Sophos.
Otro aspecto en el que destaca WantToCry es la exigencia de rescate. Normalmente, los ciberdelincuentes exigen miles de dólares por la clave de descifrado, que asciende a millones para las víctimas empresariales. Aquí, sin embargo, te pedirán entre 600 y 1.800 dólares.
“Estas cantidades son inferiores a las demandas de rescate tradicionales y probablemente reflejan el alcance limitado de la implementación del ransomware”, añadió Sophos. “El ataque WantToCry no tiene actividad posterior a la intrusión, es decir, no hay posición para que el ransomware tenga el máximo impacto en un entorno comprometido. Por lo tanto, es probable que en muchos casos el cifrado se produzca en archivos almacenados en hosts que exponen los servicios de SMB a Internet”.
Sophos también dijo que los operadores de WantToCry no tienen un sitio web y actualmente no enumeran a sus víctimas.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
