Ransomware se disfraza de antivirus para ganar víctimas

El ransomware »Dharma», que ha sido el culpable de grandes incidentes de seguridad, desarrolló una nueva táctica para ganar víctimas fácilmente: Se encubre como un software antivirus.  La familia de malware de bloqueo de archivos »Dharma» (también llamada CrySiS), surgió hace tres años y ha sido el culpable de varios incidentes de seguridad. El grupo […]

El ransomware »Dharma», que ha sido el culpable de grandes incidentes de seguridad, desarrolló una nueva táctica para ganar víctimas fácilmente: Se encubre como un software antivirus. 

La familia de malware de bloqueo de archivos »Dharma» (también llamada CrySiS), surgió hace tres años y ha sido el culpable de varios incidentes de seguridad.

El grupo detrás actualizó su táctica con el fin de garantizar que los ataques sigan siendo efectivos, y así también tendrán mejor posibilidad de extorsionar los pagos de rescate a cambio de descifrar redes y archivos bloqueados de los sistemas Windows.

Recientemente los investigadores de seguridad de Trend Micro detallaron un nuevo medio de implementación de Dharma: Se trata de una instalación de software antivirus falso.

Al igual que muchas campañas de ransomware, los ataques de Dharma comienzan con correos electrónicos de phishing. Los mensajes dicen ser de Microsoft y que el PC con Windows de la víctima está en riesgo y dañado después de un «comportamiento inusual», instando al usuario a actualizar y verificar su antivirus accediendo a un enlace de descarga.

Si el usuario sigue adelante, el ransomware recupera dos descargas: La carga útil del ransomware Dharma y una versión del antivirus de la empresa de ciberseguridad ESET.

Cuando se ejecuta el archivo autoextraíble, Dharma comienza a encriptar los archivos mientras se le pide al usuario que siga las instrucciones de instalación para el ejecutable de ESET AV, luego una interfaz se muestra en su escritorio y requiere la interacción del usuario durante el proceso de instalación, actuando como una distracción.

Una vez que se completa la instalación, la víctima se verá confrontada con una nota de rescate, que exigirá un pago de criptomoneda a cambio de desbloquear los archivos.

«Como lo demuestran las nuevas muestras de Dharma, muchos actores malintencionados aún intentan actualizar las viejas amenazas y usar nuevas técnicas. El ransomware sigue siendo una amenaza costosa y versátil», dijo Raphael Centeno, investigador de seguridad de Trend Micro.

Para evitar ser víctimas de Dharma y amenazas similares, los investigadores recomiendan que las organizaciones adopten una buena higiene de la ciberseguridad, como proteger las puertas de enlace de correo electrónico, realizar copias de seguridad de los archivos y mantener los sistemas y aplicaciones actualizados y actualizados.