Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

El nuevo ransomware ‘Thanos’ arma la técnica de evasión de RIPlace

Los investigadores de amenazas de Recorded Future descubrieron una nueva herramienta de ransomware como servicio, denominada «Thanos», que es la primera en utilizar la técnica de evasión conocida como RIPlace.

Thanos se puso a la venta como una herramienta RaaS «con la capacidad de generar nuevos clientes de ransomware Thanos basados ​​en 43 opciones de configuración diferentes», según el informe publicado el miércoles por el Grupo Insikt de Recorded Future.

En particular, Thanos es la primera familia de ransomware en anunciar su uso opcional de RIPlace, una técnica introducida a través de un exploit de prueba de concepto (PoC) en noviembre de 2019 por la compañía de seguridad Nyotron. En su lanzamiento, RIPlace pasó por alto la mayoría de los mecanismos de defensa de ransomware existentes, incluidos los productos antivirus y EDR. Pero a pesar de esto, la evasión no se consideró una vulnerabilidad porque «en realidad no se había observado en el ransomware en el momento de escribir este artículo», según el informe de Recorded Future.

Como informó BleepingComputer en noviembre pasado, solo Kaspersky Lab y Carbon Black modificaron su software para defenderse de la técnica. Pero desde enero, Recorded Future dijo, «Insikt Group ha observado a miembros de la web oscura y foros clandestinos que implementan la técnica RIPlace».

Según su informe sobre RIPlace, Nyotron descubrió que las acciones de reemplazo de archivos usando la función Renombrar en Windows podrían abusarse llamando a DefineDosDevice, que es una función heredada que crea un enlace simbólico o «enlace simbólico».

Thanos RIPlace
Recorded Future muestra cómo el exploit de prueba de concepto RIPlace fue adoptado por una nueva herramienta de ransomware como servicio conocida como Thanos.

Lindsay Kaye, directora de resultados operativos de Insikt Group de Recorded Future, dijo a SearchSecurity que los actores de amenazas pueden usar el nombre del dispositivo MS-DOS para reemplazar un archivo original con una versión encriptada de ese archivo sin alterar la mayoría de los programas antivirus.

«Como parte del cambio de nombre del archivo, llamó a una función que forma parte de la API de Windows que crea un enlace simbólico desde el archivo a un dispositivo arbitrario. Cuando se produce la llamada de cambio de nombre, la devolución de llamada que utiliza esta ruta de dispositivo pasada devuelve un error «Sin embargo, el cambio de nombre del archivo se realiza correctamente», dijo Kaye. «Pero si la detección de AV no maneja la devolución de llamada correctamente, perderá el ransomware usando esta técnica».

Los investigadores de Insikt Group descubrieron por primera vez la nueva familia de ransomware Thanos en enero en un foro de exploits. Según el informe Recorded Future, Thanos fue desarrollado por un actor de amenazas conocido como «Nosophoros» y tiene un código y funciones similares a otra variante de ransomware conocida como Hakbit.

Si bien el PoC de Nyotron finalmente fue armado por los actores de amenazas de Thanos, Kaye estaba a favor de la decisión del proveedor de lanzar públicamente RIPlace el año pasado.

«Creo que en ese momento, publicitarlo fue genial porque ahora las compañías de antivirus pueden decir excelente, ahora asegurémonos de que es algo que estamos detectando porque si alguien dice que hay una nueva técnica, los actores de amenazas la aprovecharán, así que ahora es algo que no se descubrirá después de que las personas sean víctimas. Está a la vista y las empresas pueden darse cuenta de ello «, dijo Kaye.

El informe de Recorded Future señaló que Thanos parece haber ganado tracción dentro de la comunidad de actores de amenazas y continuará siendo implementado y armado por ciberdelincuentes individuales y colectivos a través de su programa de afiliados RaaS.

También te puede interesar...

Helpshift lanza una plataforma de comunicación omnicanal

Helpshift ha lanzado Connected Customer Conversations, una plataforma diseñada para conectar canales digitales, soporte telefónico, autoservicio y bots para una mejor experiencia de soporte al cliente. Según Helpshift, la combinación de los diferentes canales de

¿Qué es contracargo / showback de TI?

El contracargo de TI es una estrategia de contabilidad que aplica los costos de hardware, software, servicios en la nube o servicios compartidos de TI a la unidad de negocios en la que se utilizan.

¿La aplicación es demasiado lenta? Solo culpemos al Brexit

Desarrolladores, las aplicaciones lentas no son realmente su culpa. Y tengo dos ejemplos para demostrarlo. La empresa de análisis de rendimiento Soasta finalmente ha cuantificado lo que todos esperábamos en secreto: las aplicaciones lentas realmente

Gestión de control de acceso

Por Stephen J. Bigelow, escritor senior de tecnología El control de acceso no ocurre por casualidad. Como vio en la primera entrega de este tutorial de Hot Spot, proteger los recursos corporativos exige una selección

¿Qué es Git? – Definición de Krypton Solid

Git es un sistema de control de versiones y administración de código distribuido de código abierto y gratuito que se distribuye bajo la licencia pública general GNU versión 2. Además del control de versiones de

¿Qué es la seguridad física?

¿Qué es la seguridad física y cómo funciona? La seguridad física es la protección del personal, hardware, software, redes y datos de acciones y eventos físicos que podrían causar pérdidas o daños graves a una

Cómo elegir el tipo de iniciador iSCSI correcto

En muchos casos, la respuesta es simple: el iniciador iSCSI de software que viene con el sistema operativo, normalmente cargado como un controlador de dispositivo. Recuerde que uno de los impulsores clave de las soluciones

Los asistentes virtuales podrían ver un repunte

El uso de aplicaciones de inteligencia artificial en el gobierno parece estar recibiendo un impulso de un enfoque político y la necesidad perenne de mejorar los servicios ciudadanos con menos recursos. El resultado podría ser

DISM se limpia después de la actualización de Windows

A medida que Windows 10 obtiene actualizaciones, los componentes reemplazados pueden acumularse en la Tienda de componentes de Windows (también conocida como WinSxS). Puede usar el comando Administración y mantenimiento de imágenes de implementación (DISM)

Cómo seleccionar un socio de integración ERP

Los sistemas ERP están destinados a abordar todas las necesidades de gestión de la información en un paquete de aplicaciones integrado. Pero ese ideal rara vez, o nunca, se realiza. ERP siempre coexiste con otras

Obtenga, implemente y administre plantillas de Oracle VM

Las plantillas de Oracle VM están preconstruidas, preconfiguradas y listas para la producción, lo que permite a los administradores de TI implementar máquinas virtuales basadas en plantillas en sus entornos de Oracle VM. Las plantillas

¿Qué es Windows Embedded? – Definición de Krypton Solid

Windows Embedded es el grupo de productos de sistemas operativos integrados de Microsoft. A continuación, presentamos un breve vistazo a algunos de los sistemas operativos Windows Embedded: Windows Embedded Industry está diseñado para máquinas como

¿Qué es la biónica? – Definición de Krypton Solid

La biónica es la replicación de sistemas biológicos mediante sistemas mecánicos y electrónicos. El médico e investigador Jack Steele acuñó el término biónica en 1958 para describir el estudio de organismos biológicos para resolver problemas

Mudarse a un proveedor de colocación

¡Gracias por unirte! Accede a tu Pro + Contenido a continuación. Julio de 2015 Mudarse a un proveedor de colocación La colocación se ha consolidado como una salida atractiva para TI y, a diferencia de

Cómo proteger las redes ICS empresariales con firewalls

Los sistemas de control industrial son una parte omnipresente e integral de las fábricas; industrias de procesos, como petróleo y gas; sistemas de transporte; e infraestructura crítica. También están obteniendo una mayor exposición en la

Temas de salud informática y salud electrónica

Los sistemas de registros médicos electrónicos (EHR) desempeñan un papel vital en la atención médica y, a partir de 2015, el uso de EHR es obligatorio para los proveedores de atención médica en los EE.

La mejor tecnología de centro de datos y nube de 2014

El Infraestructura moderna Los premios Impact reconocen los mejores productos y tecnologías de la nube y del centro de datos que marcan la diferencia para los departamentos de TI. Las herramientas y servicios galardonados en

Gestión ágil de proyectos utilizando el marco Cynefin

Los gerentes y líderes de proyectos a menudo tienen dificultades para determinar cómo abordar un problema. ¿Cuáles son las herramientas de ALM adecuadas? ¿Qué metodología de desarrollo de software es la más adecuada? El marco

El almacenamiento de Hitachi Vantara cambia a NVMe, la nube

SAN DIEGO – Hitachi Vantara actualizó hoy su infraestructura hiperconvergente y sus plataformas de infraestructura convergente, agregando memoria no volátil express, o NVMe, y soporte en la nube. Hitachi Vantara también actualizó su almacenamiento de

Elegir los mejores clientes VDI es fundamental

Fuente: Jakub Jirsk – Fotolia ¿Por qué desembolsar una fortuna en PC de gama alta para usuarios que solo necesitan acceder a una sola aplicación para algo tan simple como la entrada de datos? En

¿Qué es la programación orientada a aspectos (AOP)?

La programación orientada a aspectos (AOP) es un enfoque de la programación que permite que las propiedades globales de un programa determinen cómo se compila en un programa ejecutable. AOP se puede utilizar con programación

Una guía para los principales proveedores

El software como servicio (SaaS) es un modelo de distribución de software en el que un proveedor o proveedor de servicios aloja las aplicaciones y las pone a disposición de los clientes a través de

¿Qué es AWS Cloud9? – Definición de Krypton Solid

AWS Cloud9 es un entorno de desarrollo integrado (IDE) que un desarrollador puede usar para administrar código a través de un navegador y colaborar con otros desarrolladores. Cloud9 admite varios lenguajes de programación, como Python,

Deja un comentario