La técnica de derivación del ransomware RIPlace, descubierto por investigadores de seguridad en noviembre 2019, ahora ha sido implementado por la familia de ransomware Thanos.
Este es el primer caso de RIPlace siendo utilizado por ransomware. La técnica se basa en unas pocas líneas de código para evadir con éxito una función de las características de protección ransomware, presente en las soluciones de seguridad y de Windows 10.
El programa de afiliados de Thanos ahora incluye el desvío RIPlace
El ransomware Thanos se ha desarrollado bajo el modelo de ransomware como servicio, y ha ido ganando popularidad en foros subterráneos. A pesar de incluir esta técnica de derivación, el ransomware no muestra ningún comportamiento novedoso o sofisticado. Sin embargo, La simplicidad del ransomware es la razón por la que está ganando popularidad entre los ciberdelincuentes..
El generador de Thanos permite a los afiliados de cibercrimen crear clientes de ransomware con varias opciones, anunciado en su programa de afiliados Ransomware. El constructor se ofrece como una suscripción mensual o de por vida., dice Threatpost. La versión de "empresa" de por vida incluye características adicionales, incluyendo funcionalidades de robo de datos, la técnica RIPlace, y capacidades de movimiento lateral. Los investigadores de seguridad han observado más de 80 diferentes clientes ofrecidos por el programa de afiliados de Thanos. RIPlace se puede habilitar por elección, resultando en la modificación del proceso de encriptación para incluir la técnica de derivación.
Relacionado: RIPlace Protección ransomware bypass afecta a Windows, Los vendedores de AV
Más acerca de RIPlace
La técnica RIPlace fue descubierta el año pasado por varios investigadores de seguridad de Nyotron - Daniel Prizmant, chico Meoded, Freddy Ouzan, Hanan y Natan. Los investigadores contactados proveedores de seguridad y Microsoft sobre el tema. Sin embargo, al parecer sólo dos vendedores tomaron las medidas necesarias para abordar el problema y asegurar que el producto afectado.
Las otras compañías parecían creer que RIPlace es un "no problema". empresas afectadas incluyen nombres como Microsoft, Symantec, Sophos, Negro carbón, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, CrowdStrike, Trampas y PANW. Kaspersky y Negro de carbono son las únicas empresas que aseguraron sus productos frente a la técnica de bypass RIPlace. Sin embargo, La implementación actual de RIPlace en una familia real de ransomware demuestra que es realmente un problema que necesita atención..
En cuanto al ransomware Thanos, parece estar en desarrollo activo. El ransomware ha estado recibiendo comentarios positivos de los ciberdelincuentes en foros clandestinos., lo que significa que seguirá siendo armado en ataques.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: