El troyano Rakhni ahora cifra y mina

Empresas

Ya hemos hablado de que el ransomware ha sido relevado por los mineros del primer puesto de las amenazas online. En consonancia con esta tendencia, el troyano ransomware Rakhni, que hemos estado observando desde 2013, ha añadido un módulo para minar criptomonedas en su arsenal. Lo realmente interesante es que el archivo infeccioso del malware es capaz de elegir qué componente instalar según el dispositivo. Nuestros investigadores han descubierto cómo funciona el malware actualizado y dónde reside el peligro.

Nuestros productos detectaron a Rakhni en Rusia, Kazajistán, Ucrania, Alemania e India. El malware se distribuyó principalmente mediante correos no deseados con archivos adjuntos maliciosos. La muestra que analizaron nuestros expertos, por ejemplos, fingía ser un documento financiero, lo que sugiere que los creadores están interesados principalmente en “clientes” corporativos.

Un adjunto DOCX en un correo electrónico no deseado contiene un documento PDF. Si el usuario permite la edición e intenta abrir el PDF, el sistema solicita permiso para ejecutar un archivo ejecutable desde un editor desconocido. Con la aprobación del usuario, Rakhni entra en acción.

Como un ladrón en la noche

Al principio, el archivo PDF malicioso parece un visor de documentos. Primero, el malware muestra a la víctima un mensaje de error en el que explica por qué no se ha abierto nada. Luego, desactiva Windows Defender e instala certificados digitales falsos. Hasta que la costa no está despejada, no decide qué hacer con el dispositivo infectado; cifrar archivos y pedir un rescate o instalar un minero.

Por último, el programa malicioso intenta difundirse a otras computadoras conectadas a red local. Si los empleados de la empresa tienen acceso compartido a la carpeta Usuarios en sus dispositivos, el malware también podrá acceder a ellos.

¿Minar o cifrar?

Los criterios de selección son simples: si el malware encuentra una carpeta de servicios llamada Bitcoin en la computadora de la víctima, ejecuta un malware que cifra archivos (incluidos documentos Office, PDF, imágenes y copias de seguridad) y solicita un rescate que deberán pagar en menos de 3 días. Los ciberdelincuentes prometen enviar por correo electrónico información del rescate, incluida la cantidad.

Si no hay ninguna carpeta relacionada con Bitcoin en el dispositivo y el malware cree que tiene la suficiente potencia como para soportar un minero de criptomonedas, descarga un minero que genera tokens de Monero, Monero Original o Dashcoin a escondidas.

No caigas en la trampa

Si no quieres acabar infectado con Rakhni y sufrir daños en tu compañía, ten mucha precaución con los mensajes entrantes, sobre todo con aquellos que recibas de dirección de correo electrónico desconocidas. Si dudas si abrir o no un adjunto, no lo hagas. También presta atención a las advertencias del sistema operativo: no ejecutes aplicaciones de editores desconocidos, especialmente si el nombre es similar al de otros programas populares.

Lleva a cabo estas medidas en la lucha contra los mineros y cifradores en tu red corporativa y ahórrate el riesgo:

  • Forma a tu personal en seguridad de la información y revisa de forma periódica sus conocimientos. Si necesitas ayuda, nuestros expertos pueden hacerlo por ti.
  • Realiza copias de seguridad de información sensible en un soporte de almacenamiento separado.
  • Utiliza soluciones de seguridad de confianza con análisis de comportamiento, como Kaspersky Endpoint Security for Business.
  • Analiza tu red corporativa de forma periódica en busca de anomalías.

Incluso aunque no uses las soluciones corporativas de Kaspersky Lab, no es motivo para que entregues tu información a los delincuentes. Tenemos una solución dedicada (Kaspersky Anti-Ransomware Tool) que puede incrementar los productos de seguridad de la mayoría de los proveedores de terceros. Utiliza las últimas tecnologías de detección de comportamiento y nuestros mecanismos en la nube para detectar ransomware.