{"id":23979,"date":"2022-03-02T13:41:15","date_gmt":"2022-03-02T19:41:15","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23979"},"modified":"2022-03-02T13:41:15","modified_gmt":"2022-03-02T19:41:15","slug":"hermeticransom-hermeticwiper-attacks-2022","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/hermeticransom-hermeticwiper-attacks-2022\/23979\/","title":{"rendered":"Ransomware como distracci\u00f3n"},"content":{"rendered":"

Nuestros investigadores analizaron el malware HermeticRansom, tambi\u00e9n conocido como Elections GoRansom. En t\u00e9rminos generales, este es un cifrador muy simple. Lo que resulta interesante es el prop\u00f3sito para el que los atacantes lo est\u00e1n utilizando.<\/p>\n

Objetivos de HermeticRansom<\/h2>\n

HermeticRansom atac\u00f3 computadoras al mismo tiempo como otro malware conocido como HermeticWiper, y, de acuerdo con la informaci\u00f3n p\u00fablica disponible de la comunidad de seguridad, se utiliz\u00f3 en ciberataques recientes en Ucrania. De acuerdo con nuestros expertos, la simplicidad relativa y la implementaci\u00f3n cuestionable del flujo de trabajo del malware parecen indicar que HermeticRansom se utiliz\u00f3 como una cortina de humo para ataques de HermeticWiper.<\/p>\n

Qu\u00e9 es lo que HermeticRansom puede hacer<\/h2>\n

Una vez que infecta la computadora de la v\u00edctima, el malware primero identifica los discos duros y recopila una lista de directorios y archivos ubicados en cualquier lugar, excepto en las carpetas Windows y Archivos de Programa. Despu\u00e9s cifra ciertas categor\u00edas de archivos y los renombra a\u00f1adiendo una etiqueta .cifrado y la direcci\u00f3n de correo electr\u00f3nico de los operadores del ransomware. El malware tambi\u00e9n crea un archivo read_me.html en la carpeta Escritorio que contiene una nota de rescate con la informaci\u00f3n de contacto de los atacantes. La nota se ve as\u00ed:<\/p>\n

\"Nota

Nota de rescate dejada por el malware HermeticRansom<\/p><\/div>\n

HermeticRansom cifra los archivos con las siguientes extensiones: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi y odt.<\/p>\n

Singularidades de HermeticRansom<\/h2>\n

HermeticRansom est\u00e1 escrito en Golang. No utiliza mecanismos de oscurecimiento, y el m\u00e9todo de crifrado mismo es algo engorroso e ineficiente. A juzgar por estas y otras se\u00f1ales, nuestros expertos piensan que este malware fue creado con prisa.<\/p>\n

Puedes encontrar un an\u00e1lisis t\u00e9cnico detallado del malware junto con los indicadores de compromiso en nuestro blog de Securelist.<\/a><\/p>\n

C\u00f3mo protegerse<\/h2>\n

Las soluciones de seguridad de Kaspersky Lab detectan con \u00e9xito el malware HermeticRansom y amenazas de este tipo. Contamos con una gama de herramientas para proteger tanto las computadoras caseras como la infraestructura corporativa, incluido:<\/p>\n