El Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT) informó que identificó recientemente una nueva variante del ransomware Mimic llamada ElPaco, que representa una amenaza avanzada para usuarios y para empresas.
Este malware fue diseñado para desactivar medidas de seguridad, destruir respaldos críticos y cifrar archivos esenciales, según informó la empresa de ciberseguridad en un comunicado. Esto deja a sus víctimas sin opciones de recuperación más allá de pagar el rescate exigido.
De acuerdo con la información dada por la empresa, ElPaco utiliza una combinación de herramientas maliciosas y programas legítimos para infiltrarse en los sistemas.
Comienza con un archivo comprimido que, al ejecutarse, desactiva defensas como Windows Defender y cifra datos en unidades locales y de red. Además, emplea tácticas de persistencia, como modificaciones en el registro, para garantizar que el ataque no pueda ser interrumpido.
La amenaza ya fue detectada en países como Estados Unidos, Rusia, Alemania, Francia, Corea del Sur y Canadá, pero sus ataques se extienden a todo el mundo, México incluido. Según Ashley Muñoz, especialista en respuesta a incidentes de Kaspersky, la sofisticación de ElPaco hace imperativo que las organizaciones fortalezcan sus defensas:
"El ransomware ELPACO asegura su operación continua mediante mecanismos persistentes, modificaciones en el registro y tácticas contra el apagado. Su enfoque específico de cifrar datos esenciales del usuario, dejando intactos archivos críticos del sistema, garantiza que el dispositivo de la víctima siga siendo funcional, facilitando el pago del rescate. Para contrarrestar amenazas tan sofisticadas, las organizaciones deben implementar defensas sólidas que incluyan detección en endpoints, monitoreo avanzado de comportamiento y copias de seguridad regulares para mitigar el impacto de estos ataques"
Elpaco tien funciones avanzadas para un ataque efectivo
Securelist, el boletín informativo de Kaspersky, informó que la característica más notable de ElPaco es su capacidad para personalizar operaciones. Los atacantes pueden configurar el ransomware a través de una interfaz gráfica y elegir qué archivos cifrar, modificar notas de rescate y excluir ciertos formatos para evitar dañar el sistema operativo.
Este nivel de personalización, combinado con el uso de la herramienta legítima “Everything”, permite al malware localizar archivos críticos rápidamente, aumentar la velocidad del ataque y dificultar su detección. Además, ElPaco emplea el cifrado ChaCha20, protegido por RSA-4096, que hace imposible recuperar los archivos sin la clave de descifrado.
Los análisis realizados por Kaspersky revelaron que los atacantes aprovechan vulnerabilidades conocidas, como CVE-2020-1472 (Zerologon), para escalar privilegios y ejecutar el ransomware en redes corporativas. Una vez en marcha, el malware elimina rastros de su actividad, dificultando su análisis posterior.
ElPaco no solo es capaz de cifrar archivos, sino también de borrar los registros de actividad y respaldos, y deja a las víctimas sin alternativas de recuperación. Además, emplea técnicas avanzadas de ocultamiento, como la inyección de procesos y el uso de nombres de archivos que imitan procesos legítimos de Windows.
Recomendaciones para prevenir ataques de ElPaco
Ante la creciente sofisticación de estas amenazas, Kaspersky sugiere varias medidas para reducir los riesgos de un ataque exitoso:
- Actualizar software y sistemas operativos: Aplicar parches periódicos para mitigar vulnerabilidades conocidas.
- Capacitar a los empleados: Enseñar a los usuarios a identificar tácticas de ingeniería social y archivos maliciosos.
- Realizar copias de seguridad periódicas: Guardar datos críticos en ubicaciones aisladas del sistema principal.
- Implementar soluciones avanzadas de seguridad: Utilizar herramientas como Kaspersky Next EDR Foundations para detectar actividades sospechosas y detener ataques en tiempo real.
- Acceder a inteligencia de amenazas: Mantenerse informado sobre nuevas ciberamenazas a través de servicios especializados como Kaspersky Threat Intelligence.
Ver 0 comentarios