Después de WannaCry, surgen UIWIX Ransomware y Monero-Mining

Título original: After WannaCry, UIWIX Ransomware and Monero-Mining Malware Follow Suit
Fuente: Trend Micro
Resumen:

El brote de ransomware de WannaCry durante el fin de semana del 12 de mayo, fue mitigado al registrar su dominio de cambio. Sin embargo, sólo era cuestión de tiempo que otros ciberdelincuentes siguieran su ejemplo. Este es el caso: la aparición de ransomware UIWIX (detectado por Trend Micro como RANSOM_UIWIX.A) y un troyano notable, detectados por nuestros sensores.

UIWIX no es WannaCry

Contrariamente a las noticias recientes citando a UIWIX como la nueva versión de WannaCry, nuestro análisis en curso indica que es una nueva familia que usa las mismas vulnerabilidades de SMB (MS17-010, con el nombre de EternalBlue tras su divulgación pública por Shadow Brokers) que WannaCry explota para infectar sistemas, propagarse dentro de las redes y escanear Internet para infectar más víctimas.

Entonces, ¿cómo es diferente UIWIX?

Parece que no tiene archivos: UIWIX se ejecuta en memoria después de explotar EternalBlue. Las infecciones sin archivos no implican la escritura de archivos o componentes reales en los discos de la computadora, lo que reduce enormemente su huella y a su vez, hace que la detección sea más complicada.

UIWIX es también más sigiloso, optando por terminar si detecta la presencia de una máquina virtual (VM) o sandbox. Basado en las cadenas de código de UIWIX, parece tener rutinas capaces de recopilar el acceso al navegador del sistema infectado, el Protocolo de transferencia de archivos (FTP), el correo electrónico y las credenciales del mensajero.

Revise y parchee sus sistemas y adopte mejores prácticas

UIWIX, al igual que muchas otras amenazas que explotan las brechas de seguridad, es una lección sobre el significado real de los parches. Las empresas deben equilibrar el modo en que mantienen la eficiencia de sus operaciones de negocio, al mismo tiempo que las protegen. Los administradores de TI/sistemas y los profesionales de seguridad de la información, sus centinelas, deben reforzar con bases sólidas que puedan mitigar los ataques que amenazan la integridad y la seguridad de sus sistemas y redes.

Dado que UIWIX utiliza el mismo vector de ataque que WannaCry, las mejores prácticas contra UIWIX y otras amenazas similares deben resultarnos familiares (e intuitivas):

• Corregir y actualizar los sistemas y considerar el uso de la reparación o parcheo virtual

• Habilitar los firewalls, así como los sistemas de detección y prevención de intrusiones

• Supervisar y validar de forma proactiva el tráfico entrante y saliente del trabajo

• Implementar mecanismos de seguridad para otros puntos de entrada que los atacantes pueden usar, como email y las páginas web

• Desplegar control de aplicaciones para evitar que los archivos sospechosos se ejecuten en la monitorización del comportamiento superior que puede frustrar las modificaciones no deseadas en el sistema.

• Emplear la categorización de datos y la segmentación de red para mitigar la exposición adicional y el daño a los datos.

Ver artículo completo


Alternativas en Computación tiene el conocimiento y las herramientas para ayudar a su empresa a prevenir y mitigar el riesgo que representa ransomware.

¡Si deseas agendar una cita, por favor déjanos tus datos!

Leave A Comment