El ransomware Snake está haciendo de las suyas con las redes corporativas

Descubierto por MalwareHunterTeam y analizado por Vitali Kremez, SNAKE está escrito en Golang y contiene un alto nivel de ofuscación. Después de una infección exitosa, el ransomware elimina las instantáneas de volumen de la máquina antes de finalizar varios procesos asociados con los sistemas SCADA, las soluciones de administración de red, las máquinas virtuales y […]

Descubierto por MalwareHunterTeam y analizado por Vitali Kremez, SNAKE está escrito en Golang y contiene un alto nivel de ofuscación.

Después de una infección exitosa, el ransomware elimina las instantáneas de volumen de la máquina antes de finalizar varios procesos asociados con los sistemas SCADA, las soluciones de administración de red, las máquinas virtuales y otras herramientas.

Luego procede a cifrar los archivos de la máquina mientras omite las carpetas importantes de Windows y los archivos del sistema. Como parte de este proceso, agrega «EKANS» como un marcador de archivo junto con una cadena de cinco caracteres a la extensión de cada archivo que cifra.

La amenaza concluye su rutina de cifrado colocando una nota de rescate titulada «Fix-Your-Files.txt» en la carpeta C: \ Users \ Public \ Desktop. Esta nota de rescate instruye a las víctimas a contactar a «bapcocrypt@ctemplar.com» para comprar una herramienta de descifrado.

SNAKE no es el primer ransomware que dirige su enfoque a redes corporativas. En marzo de 2019 los investigadores descubrieron una nueva variante de la familia de ransomware »CryptoMix Clop», que afirmaba apuntar a redes enteras en lugar de las máquinas de los usuarios individuales. Unos meses más tarde, la comunidad de seguridad se enteró de una nueva amenaza de cripto-ransomware llamada «TFlower» dirigida a entornos corporativos a través de los Servicios de Escritorio Remoto (RDS) expuestos.