Todo lo que necesita saber sobre el ransomware sin archivos

El mercado del ransomware ha ido evolucionando. Ha llegado una nueva generación de agentes maliciosos. Está marcado por el sigilo y ha hecho víctimas en muchas compañías de telecomunicaciones, agencias gubernamentales e instituciones bancarias, etc. Estos ataques han llevado a los departamentos de TI de compañías de todo el mundo a mantenerse alertas. Se han emitido advertencias detalladas a los trabajadores para que no abran archivos adjuntos de correo electrónico no seguros y eviten visitar sitios web sospechosos y aplicaciones de terceros. Técnicamente conocidas como ransomware sin archivos o sin malware, estas herramientas son una gran amenaza. Utilizan el lenguaje de secuencias de comandos PowerShell de Microsoft para dirigirse a organizaciones que utilizan documentos y / o aplicaciones que se ejecutan a través de macros.

Todo lo que necesita saber sobre el ransomware sin archivos

Todo lo que necesita saber sobre el ransomware sin archivos

¿Qué es PowerShell??

PowerShell, un lenguaje de programación orientado a la automatización de tareas, se utiliza en MS OS junto con más de 100 herramientas de línea de comandos..

¿Qué hace Fileless Ransomware a PowerShell??

El ransomware utiliza scripts o macros basados ​​en PowerShell para el cifrado de archivos. Esto es diferente del ransomware tradicional que realizó el cifrado de archivos basado en datos.

Una descripción general de los ataques sin archivos

Entre los mayores hacks de la historia se perpetró sin archivos. En 2016, alguien robó algunos documentos del Comité Nacional Demócrata (DNC) que luego fueron liberados por influir en las elecciones presidenciales de ese año. Esto se hizo a través de correos electrónicos de phishing con enlaces comprometidos que se entregaron a los trabajadores de DNC. Al hacer clic, el ataque comenzó a funcionar a través de PowerShell y WMI.

Según Charles Gaughf, el Líder de Seguridad con (ISC) ², un NPO de seguridad en línea, los ataques sin archivos generalmente están alojados en enlaces de phishing y sitios web de acceso directo.

A principios de 2017, otro ataque con medios sin archivos atacó a más de 140 bancos y organizaciones financieras de más de 40 países. El atacante ingresó al sistema usando un servidor que no tenía parches.

Luego cargó un código comprometedor en la memoria usando scripts de PowerShell y el Registro de Windows.

Además, los atacantes obtuvieron el control de los sistemas utilizando utilidades estándar del sistema que comprendían utilidades de líneas de comando como NETSH y SC.

Este acceso remoto les permitió configurar malware ATMitch residente en memoria. Esto se hizo en cajeros automáticos que luego se les ordenó expulsar su efectivo. Los atacantes tomaron este dinero y se fueron. Como no había archivos en ningún sistema, detectar la violación fue muy difícil.

Las dos formas principales de sistemas de infiltración de ransomware sin archivos

Usando ataques de phishing generados a través de correos electrónicos, un atacante puede escribir macros en la memoria del sistema. Esto lleva a demandas de rescate generadas automáticamente y cifrado de datos.

La segunda forma es a través de sitios web inseguros a los que accede un trabajador. Esto permite a los atacantes apuntar a la RAM a través de scripts. Esto les permite acceder a la información y exigir pagos de criptomonedas. De lo contrario, sus datos serán encriptados e inutilizados..

Tipos de ataques sin archivos

Hay cuatro tipos básicos de ransomware sin archivos que debe conocer:

  • Ataques exclusivos de memoria: Estos ataques acceden a las memorias del servicio de Windows para extender su alcance. Llegaron al mercado ya en 2001. Sin embargo, pueden resolverse reiniciando el sistema..
  • Técnicas de persistencia sin archivos: Dichos ataques no se pueden eliminar con un simple reinicio, incluso si el disco duro no está infectado. Esto se hace utilizando el Registro de Windows para almacenar secuencias de comandos infecciosas, que reanudan la infección incluso después de reiniciar.
  • Herramientas de doble uso: Dichos ataques se llevan a cabo infectando las aplicaciones del sistema de Windows. Esto se hace para obtener acceso a los sistemas de destino o para transferir datos a los atacantes..
  • Ataques de archivos ejecutables no portátiles (PE): Dichos ataques usan herramientas y scripts para impactar a través de PowerShell, CScript o WScript..

¿Por qué es tan popular el ransomware??

El ransomware es fácil de usar. Por lo general, las empresas no lo piensan dos veces antes de pagar un rescate en lugar de arriesgarse a perder datos o ganar mala publicidad. El aumento de las criptomonedas también ha mejorado la viabilidad del ransomware. Los métodos de pago anónimos permiten a los piratas informáticos tener medios difíciles de rastrear para extraer dinero de sus víctimas. Al mismo tiempo, las transferencias de criptomonedas no se pueden revertir y, por lo tanto, son efectivas y seguras.

Qué hace que el ransomware sin archivos sea único?

El ransomware sin archivos es único, ya que es difícil de detectar. Esto se debe a que el lenguaje de secuencias de comandos nativo o la RAM se inyectan con el código infeccioso. Esto le permite esconderse en la memoria y ejecutar comandos desde allí..

¿Qué hacen los ataques de ransomware sin archivos??

  1. El ransomware sin archivos es efectivamente imposible de rastrear incluso con antivirus de grado comercial.
  2. Estos ataques dejan su sistema abierto para que los cibercriminales los exploten. Pueden hacer todo tipo de cosas con su red o dispositivo una vez que lo piratean, incluido el robo / cifrado de datos sin ser detectados.
  3. También abren el dispositivo comprometido a múltiples ataques. Esto se debe a que el atacante puede escribir scripts mientras obtiene información del dispositivo comprometido.

Protéjase del ransomware sin archivos

A pesar de que el ransomware sin archivos es efectivamente indetectable por el software antivirus habitual, hay varias cosas que puede hacer para evitarlos. Lo primero que debe hacer es asegurarse de que nadie acceda a sus datos críticos. Lo segundo es asegurarse de que su vulnerabilidad por error humano no esté expuesta.

Esto significa que sus empleados necesitan saber sobre ingeniería social y cómo pueden evitarlo. Por supuesto, también necesitará un sistema actualizado que tenga todos los parches de seguridad recientes. A continuación se ofrecen algunos consejos y sugerencias adicionales para mejorar aún más su seguridad contra el ransomware sin archivos:

Mas consejos

  • Asegúrese de que sus datos estén respaldados: Mantenerse protegido se trata de tener en cuenta los ataques. Debe asegurarse de que alguien realice un seguimiento de sus datos y haga una copia de seguridad de los archivos críticos. Esto le permitirá desarmar tales ataques accediendo a un punto de restauración que no se ve afectado por la violación.
  • Mantente vigilante: Desactiva todas las macros. De lo contrario, evite abrir archivos de los que no está seguro. En caso de dudas, debe ponerse en contacto con su administrador de TI..
  • Detener correos maliciosos, páginas web e interacción a través de navegadores y servidores. Debe seguir la prudencia al tratar con un correo electrónico potencialmente malicioso. Simplemente bloquee cualquier cosa que no parezca genuina o que tenga la más mínima sensación de vergüenza..  

Con solo un poco de precaución, puede mantenerse protegido de todo tipo de ransomware, regular o sin archivos.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me