![](\"https:\/\/sophos.files.wordpress.com\/2019\/12\/shutterstock_702680680.png\"\/)
<\/p>\nEl equipo de Managed Threat Response (MTR) de Sophos advirti\u00f3 a la industria sobre un nuevo peligroso truco del ransomware: cifrar los datos solo despu\u00e9s de reiniciar los PC con Windows en “modo seguro”.<\/p>\n
Implementado recientemente por el ransomware “Snatch” desarrollado por los rusos<\/a>, llamado as\u00ed por la pel\u00edcula de 2000<\/a> del mismo nombre, es efectivo contra gran parte del software de seguridad de endpoint, que a menudo no se carga cuando el modo seguro est\u00e1 en funcionamiento.<\/p>\n Todo ello a pesar del hecho de que en los ataques del mundo real analizados por MTR, Snatch comienza como muchas otras campa\u00f1as de ransomware que actualmente apuntan a redes empresariales.<\/p>\n Los atacantes buscan puertos de Escritorio Remoto (RDP) d\u00e9bilmente protegidos para abrirse paso en los servidores de Azure, un punto de apoyo que usan para moverse lateralmente a los controladores de dominios de Windows, a menudo pasando semanas reuniendo informaci\u00f3n.<\/p>\n En un ataque de red, los atacantes instalaron el ransomware en alrededor de 200 m\u00e1quinas usando el comando y el control (C2) despu\u00e9s de utilizar una serie de herramientas leg\u00edtimas (Process Hacker, IObit Uninstaller, PowerTool, PsExec, Advanced Port Scanner) m\u00e1s algunas suyas.<\/p>\n El mismo perfil de software se detect\u00f3 en otros ataques en los EEUU, Canad\u00e1 y varios pa\u00edses europeos, que tambi\u00e9n explotaron RDP expuestos.<\/p>\n Pero Snatch todav\u00eda tiene el mismo problema que cualquier otro ransomware: c\u00f3mo vencer la protecci\u00f3n del software local.<\/p>\n Su enfoque es cargar un servicio de Windows llamado SuperBackupMan que no se puede detener o pausar, lo que agrega una clave de registro que garantiza que el destino se iniciar\u00e1 en modo seguro despu\u00e9s de su pr\u00f3ximo reinicio.<\/p>\n Solo despu\u00e9s de que esto haya sucedido, y la m\u00e1quina haya entrado en modo seguro, ejecuta una rutina que elimina las instant\u00e1neas de volumen de Windows, despu\u00e9s de lo cual cifra todos los documentos que detecta en el destino.<\/p>\n Usar el modo seguro para evitar la seguridad tiene sus ventajas y desventajas. Lo bueno es que, en muchos casos, funciona: el software de seguridad que no espera esta t\u00e9cnica es f\u00e1cilmente omitido.<\/p>\n Lo complicado es que a\u00fan debe ejecutar su falso servicio de Windows, que se basa en irrumpir controladores de dominio para distribuirlo a los objetivos dentro de la red.<\/p>\n Reiniciar en modo seguro tampoco superar\u00e1 el inicio de sesi\u00f3n de Windows, lo que en teor\u00eda le da a un usuario alertado la posibilidad de detener el cifrado.<\/p>\n Sin embargo, esto no ha impedido que tenga mucho \u00e9xito. Coveware, una compa\u00f1\u00eda involucrada en la negociaci\u00f3n de rescates de ransomware, le dijo a Sophos que hab\u00eda actuado para empresas en 12 incidentes entre julio y octubre, lo que implic\u00f3 el pago de rescates en bitcoins entre $ 2.000 y $ 35.000.<\/p>\n Los ataques tambi\u00e9n a menudo implican la supervisi\u00f3n manual por parte de los delincuentes, como descubri\u00f3 un investigador del MTR cuando su direcci\u00f3n IP se incluy\u00f3 en una lista negra en tiempo real para evitar su an\u00e1lisis del comportamiento C2 de Snatch.<\/p>\n Para los clientes de Sophos, la protecci\u00f3n ya forma parte de las \u00faltimas versiones de protecci\u00f3n endpoint, aunque es importante habilitar la funci\u00f3n CryptoGuard dentro de Intercept X<\/a>.<\/p>\n La seguridad de Sophos detecta los diferentes componentes de Snatch con las siguientes firmas:<\/p>\nUn truco, pero uno de los buenos<\/h2>\n
Qu\u00e9 hacer<\/h2>\n
\n