Los investigadores de Trend Micro alertan sobre la presencia de esta nueva familia de ransomware, la cual eleva su sofisticación de infección mediante técnicas de evasión de detección y replicación dentro de las redes de comunicación de las empresas.
Durante los primeros meses del año, se observó un aumento de las operaciones de Virlock mediante las nuevas versiones de Cryptolocker v3 y CTB Locker, las cuales ingresaban al sistema a través del correo electrónico para luego secuestrar la información allí almacenada, cifrándola mediante algoritmos complejos que imposibilitan su recuperación.
Los investigadores, Jaaziel Carlos, Jonh Chua, y Rodwin Fuentes detallaron el funcionamiento y métodos empleados por el ransomware, el cual compromete a los sistemas. “Las variantes del malware pueden llegar al equipo mediante otro programa malicioso como un huésped en los sistemas infectados; incluso, detectamos variantes en la reciente campaña de ataques dirigidos llamada CARBANAK”, comentan los expertos.
Una de las características únicas de la nueva variante de Virlock son sus capacidades de infección y propagación. Luego de ingresar al sistema, el software malicioso verifica la existencia de archivos específicos, tales como:
- Archivos ejecutables (.exe).
- Documentos (.doc, .xls, .pdf, .ppt, .mdb).
- Archivos Comprimidos (.zip, .rar).
- Archivos de Audio/Video (.mp3, .mpg, .wma).
- Archivos de Imágenes (.png, .gif, .bmp, .jpg, .jpeg, .psd).
- Certificados Digitales (.p12, .cer, .crt, .p7b, .pfx, .pem).
Luego de localizar dichos archivos, el malware los cifra, se copia y oculta dentro de ellos mediante la extensión .RSRC, la cual no es ejecutable pero almacena datos como iconos, imágenes, textos y menús para engañar al usuario.
Sus técnicas de evasión de detección utilizadas incluyen: polimorfismo con empacadores personalizados y creados por otros grupos de cibercriminales; así como varias capas de cifrado para ocultarse en los archivos comprometidos.
El peligro de Virlock radica en sus técnicas de infección y propagación, pues la presencia de un archivo contaminado en un sistema, un recurso compartido o un sistema de almacenamiento de datos posibilita la reinfección total de los equipos.
Recomendaciones:
- Robustecer la seguridad con métodos de detección avanzada.
- Proteger los equipos, repositorios de información compartida y sistemas de almacenamiento (SAN/NAS).
- Como VIRLOCK utiliza otras familias de malware para propagarse, se debe de monitorizar y detectar la presencia de cualquier malware en las redes internas de las empresas, así como también las redes a las que tienen accesos los proveedores y terceros.
