Ransomware como distracción

El cifrador HermeticRansom se utilizó como distracción para respaldar ataques de HermeticWiper.

Nuestros investigadores analizaron el malware HermeticRansom, también conocido como Elections GoRansom. En términos generales, este es un cifrador muy simple. Lo que resulta interesante es el propósito para el que los atacantes lo están utilizando.

Objetivos de HermeticRansom

HermeticRansom atacó computadoras al mismo tiempo como otro malware conocido como HermeticWiper, y, de acuerdo con la información pública disponible de la comunidad de seguridad, se utilizó en ciberataques recientes en Ucrania. De acuerdo con nuestros expertos, la simplicidad relativa y la implementación cuestionable del flujo de trabajo del malware parecen indicar que HermeticRansom se utilizó como una cortina de humo para ataques de HermeticWiper.

Qué es lo que HermeticRansom puede hacer

Una vez que infecta la computadora de la víctima, el malware primero identifica los discos duros y recopila una lista de directorios y archivos ubicados en cualquier lugar, excepto en las carpetas Windows y Archivos de Programa. Después cifra ciertas categorías de archivos y los renombra añadiendo una etiqueta .cifrado y la dirección de correo electrónico de los operadores del ransomware. El malware también crea un archivo read_me.html en la carpeta Escritorio que contiene una nota de rescate con la información de contacto de los atacantes. La nota se ve así:

Nota de rescate dejada por el malware HermeticRansom

Nota de rescate dejada por el malware HermeticRansom

HermeticRansom cifra los archivos con las siguientes extensiones: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi y odt.

Singularidades de HermeticRansom

HermeticRansom está escrito en Golang. No utiliza mecanismos de oscurecimiento, y el método de crifrado mismo es algo engorroso e ineficiente. A juzgar por estas y otras señales, nuestros expertos piensan que este malware fue creado con prisa.

Puedes encontrar un análisis técnico detallado del malware junto con los indicadores de compromiso en nuestro blog de Securelist.

Cómo protegerse

Las soluciones de seguridad de Kaspersky Lab detectan con éxito el malware HermeticRansom y amenazas de este tipo. Contamos con una gama de herramientas para proteger tanto las computadoras caseras como la infraestructura corporativa, incluido:

Consejos