Noticias, Ransomware

Se revelan tácticas de cuatro ransomware enfocados en MacOS

enero 10, 2023
En un nuevo informe de seguridad de Microsoft, se revelaron las tácticas de cuatro familias de ransomware.

En un nuevo informe, el equipo de investigación de Microsoft reveló las tácticas en uso de cuatro familias diferentes de ransomware: KeRanger, FileCoder, MacRansom y EvilQuest, las cuatro dirigidas a sistemas macOS.

Sondeando las amenazas de macOS

Según el informe, las familias de malware son antiguas y muestran una amplia variedad de capacidades.

El vector inicial de este malware es un método asistido por el usuario, donde la víctima descarga e instala aplicaciones troyanizadas. Además, es capaz de llegar como una carga útil de segunda etapa lanzada por el malware existente como parte de un ataque a la cadena de suministro. Independientemente del vector de ataque inicial, los atacantes confían en las funciones genuinas del sistema operativo para las etapas posteriores y abusan de las fallas para ingresar a los sistemas y cifrar los archivos.

Información sobre las tácticas utilizadas

Las cuatro familias de ransomware utilizan diferentes tácticas para realizar distintas tareas.

  1. Enumeración de archivos: FileCoder y MacRansom usan la utilidad de búsqueda de Unix, mientras que KeRanger y EvilQuest usan otras funciones de biblioteca como readdir, closedir y opendir para acceder y organizar archivos.
  2. Evasión de análisis: KeRanger emplea la técnica de ejecución retrasada, donde después de la infección, permanece en silencio durante tres días para escapar de la detección. MacRansom, EvilQuest y KeRanger utilizan una combinación de comprobaciones basadas en hardware y software para averiguar si el malware se ejecuta en un entorno virtual para resistir el análisis.
  3. Cifrado: FileCoder utiliza la utilidad ZIP para cifrar archivos, mientras que KeRanger utiliza el cifrado AES en el modo de encadenamiento de bloques Cipher. MacRansom y EvilQuest usan algoritmos simétricos personalizados para el cifrado de archivos. Además, EvilQuest tiene funciones similares a las de un troyano, como registro de pulsaciones de teclas y archivos Mach-O comprometidos mediante la inyección de código arbitrario.

Los actores de ransomware actualizan regularmente su malware para hacerlos más eficientes mientras evaden los sistemas de seguridad con nuevas técnicas. Comprender las tácticas y rutinas habituales de este malware puede ayudar a las organizaciones a intensificar su estrategia de protección de datos y ciberdefensa. Se recomienda a los equipos de seguridad que utilicen inteligencia de amenazas en tiempo real para mantenerse al día con los TTP cambiantes de las amenazas de ransomware.

fourransomware

Comparte este Artículo

Artículos relacionados