El Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT) detectó una nueva variante del ransomware Mimic con herramientas de personalización avanzadas y capacidades para desactivar mecanismos de seguridad. Se trata de “ElPaco”, capaz de detener las operaciones del dispositivo, eliminar datos de respaldo y bloquear el acceso a las acciones de recuperación, dejando una nota de extorsión para pedir el pago de rescate.
Tras su ejecución, “ElPaco” implementa una serie de herramientas maliciosas y utilidades legítimas, lo que le permite desactivar las defensas del sistema, cifrar una amplia gama de tipos de archivos y realizar acciones para garantizar la persistencia. También cifra archivos críticos en unidades locales y de red, dejando una nota de rescate para la víctima y apunta a un conjunto específico de extensiones de archivos, mientras excluye otras para evitar dañar archivos esenciales del sistema.
“ElPaco” es una amenaza importante tanto para individuos como para empresas, capaz de evadir la detección y obstaculizar los esfuerzos de recuperación. El GERT de Kaspersky ha detectado actores de amenazas que utilizan esta variante de Mimic en Estados Unidos, Rusia, Países Bajos, Alemania y Francia, sin embargo, su presencia va más allá con casos identificados también en Canadá, Rumania, Corea del sur y Reino Unido, entre otros países.
Esta variante Mimic, es un programa muy avanzado que ataca sistemas de Windows. Utiliza una combinación de herramientas maliciosas y programas legítimos para tomar control del equipo afectado. Comienza con un archivo que se extrae por sí mismo, que contiene varias herramientas, incluyendo una utilidad de búsqueda de archivos que parece inofensiva, pero que en realidad ayuda al malware a encontrar archivos importantes de forma más rápida. Luego, desactiva las protecciones de seguridad del sistema, como Windows Defender, y comienza a cifrar los archivos importantes, tanto en el equipo como en las redes a las que esté conectado.
«El ransomware ELPACO asegura su operación continua mediante mecanismos persistentes, modificaciones en el registro y tácticas contra el apagado. Su enfoque específico de cifrar datos esenciales del usuario, dejando intactos archivos críticos del sistema, garantiza que el dispositivo de la víctima siga siendo funcional, facilitando el pago del rescate. Para contrarrestar amenazas tan sofisticadas, las organizaciones deben implementar defensas sólidas que incluyan detección en endpoints, monitoreo avanzado de comportamiento y copias de seguridad regulares para mitigar el impacto de estos ataques», comenta Ashley Muñoz, Especialista en Respuesta a Incidentes del Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT).
Para que las empresas puedan protegerse de este tipo de amenazas, los expertos de Kaspersky recomiendan:
· Actualizar sistemas operativos, las aplicaciones y el software de seguridad con parches periódicos para mitigar las vulnerabilidades que frecuentemente explotan las amenazas cibernéticas.
· Capacitar a sus empleados para que sean capaces de identificar las tácticas de ingeniería social que buscan engañarlos para que sean ellos quienes ejecuten archivos maliciosos que permiten el acceso a la red de las empresas.
· Implementar copias de seguridad periódicas de datos y sistemas críticos para minimizar el impacto de los ataques de ransomware o la pérdida de datos resultante de infecciones de malware.
· Implementar soluciones de seguridad para endpoints equipadas con capacidades avanzadas de detección y prevención de amenazas para identificar y detener eficazmente actividades maliciosas como Kaspersky Next EDR Foundations que mantiene a su empresa a salvo del ransomware y de otros tipos de malware.
· Acceder constantemente a información de Inteligencia de Amenazas necesaria para obtener información crítica que le permita protegerse de las ciberamenazas, identificar y prevenir los riesgos en forma proactiva y mejorar la respuesta a incidentes. Kaspersky Threat Intelligence brinda acceso a toda esta información recopilada por nuestro equipo líder de investigadores y analistas.
Para conocer más detalles sobre el análisis de “Elpaco” visite Securelist.lat
