Recientes campañas de los ransomware Inlock y Xorist tienen como objetivo organizaciones en Cuba y otros países de la región de América Latina y el Caribe
SUNNYVALE, California – 28 de noviembre de 2022 – De acuerdo con el último reporte “Ransomware Roundup” de FortiGuard Labs, el laboratorio de inteligencia de amenazas de Fortinet, se ha visto nueva actividad del ransomware Inlock dirigida a mercados de habla hispana y una nueva variante del ransomware Xorist que parece apuntar a Cuba.
FortiGuard Labs recopila datos sobre variantes de ransomware que están teniendo alta actividad se acuerdo a un conjunto de datos de recolección propia y de la industria. Con esta información se elabora el reporte bisemanal “Ransomware Roundup” que brinda perspectivas sobre el panorama cambiante del ransomware, junto con las soluciones de Fortinet que protegen contra esas variantes.
A continuación un detalle del último reporte:
- Plataformas afectadas: usuarios de Microsoft Windows
- Impacto: cifrado de archivos en dispositivos comprometidos y exigencia de rescate por el descifrado
- Nivel de gravedad: alta
Nueva variante del ransomware Inlock
Inlock es un ransomware típico que encripta archivos en una máquina comprometida y exige un rescate de la víctima a cambio de recuperar los archivos afectados. Los documentos cifrados por esta última variante tienen una extensión de archivo “.inlock”. Luego deja una nota de rescate titulada READ_IT.txt, que contiene un mensaje de rescate en español, lo que hace suponer que está dirigido a víctimas en países de habla hispana como los de América Latina y parte del Caribe.
También modifica el fondo de pantalla del escritorio:
Una aparente falla de diseño en el ransomware Inlock es que no proporciona ninguna información de contacto para que las víctimas puedan comunicarse con el atacante para negociar el descifrado de archivos. Sin información de contacto disponible del atacante, las víctimas no pueden recuperar sus archivos cifrados.
Nueva variante del ransomware Xorist
FortiGuard Labs también descubrió recientemente una nueva variante del ransomware Xorist, este ransomware ha estado en actividad durante al menos cinco años y algunos informes sugieren que su vida útil se ha acercado a una década.
Se ha descubierto recientemente una nueva variante del ransomware Xorist, ejecutable a través de una campaña de phishing que parece apuntar a víctimas en Cuba. El archivo ejecutable del ransomware se llama “Ley del Presidente y Vicepresidente de la República de Cuba.pdf.exe”. Esta campaña se envió coincidentemente con la distribución del archivo PDF legítimo “Ley del Presidente y vicepresidente de la República de Cuba.pdf” que está etiquetado como la “Gaceta Oficial de la República de Cuba” sobre la Asamblea Nacional del Poder Popular celebrada a fines de 2020.
El atacante creó este archivo para distribuir la variante Xorist, un PDF falso que intenta engañar a las víctimas haciéndoles creer que han abierto un archivo legítimo emitido por el gobierno cubano. A continuación la imagen del archivo falso:
Esta variante del ransomware Xorist deja la siguiente una nota de rescate en español:
El ransomware también reemplaza el fondo de pantalla del escritorio con un mensaje de rescate e incluye un código QR con la dirección de la billetera Bitcoin del atacante. Al momento de publicar el reporte, esta billetera no había registrado ninguna transacción.
¿Qué hacer para protegerse?
Los clientes de Fortinet ya están protegidos contra estas variantes de ransomware a través de los servicios de filtrado web, antivirus, FortiMail, FortiClient y FortiEDR. La inteligencia de amenazas de las soluciones de Fortinet, alimentada por FortiGuard Labs, detecta estas variantes con las siguientes firmas AV: W32/Filecoder.Q!tr.ransom, W32/PossibleThreat
Dado que la mayoría del ransomware se entrega a través de phishing, las organizaciones deberían considerar capacitar a los usuarios para que comprendan y detecten las amenazas de phishing. El Servicio de Concientización y Capacitación en Ciberseguridad para emprensa incluye un módulo sobre amenazas de Internet, diseñado para ayudar a los usuarios finales a aprender cómo identificar y protegerse de varios tipos de ataques de phishing y se puede agregar fácilmente a los programas de capacitación internos.
Las organizaciones deberán realizar cambios fundamentales en la frecuencia, la ubicación y la seguridad de sus copias de seguridad de datos para hacer frente de manera eficaz al riesgo de ransomware que evoluciona y se expande rápidamente. Para minimizar el riesgo y reducir el impacto de un ataque de ransomware exitoso, es importante evaluar soluciones de seguridad basadas en la nube, como SASE, para proteger dispositivos fuera de la red; seguridad avanzada de endpopint, como soluciones EDR (detección y respuesta de endpoint) que pueden interrumpir el malware en medio de un ataque; y las estrategias de segmentación de red y Zero Trust Access que restringen el acceso a aplicaciones y recursos en función de la política y el contexto.
Las fuerzas del orden y las organizaciones de seguridad advierten a las víctimas de ransomware que no paguen un rescate, en parte porque el pago no garantiza que se recuperarán los archivos. Además, los pagos de rescate pueden animar a los cibercriminales a apuntar a otras organizaciones y alentarlos a financiar otras actividades potencialmente ilegales.
Fuente: Llorente y cuenca.