Un nuevo informe muestra que Magniber ransomware, un tipo de ransomware que infecta computadoras individuales, en lugar de flotas de dispositivos, ha estado apuntando a las computadoras de las personas haciéndose pasar por actualizaciones de software.
En los últimos años, los ataques de ransomware corporativos han dominado los titulares de los medios debido a sus víctimas de alto perfil y las altas demandas de rescate.
Sin embargo, el ransomware de un solo cliente aún puede causar daños graves a personas y organizaciones.
Un análisis de una campaña de ransomware aislada por HP Wolf Security en septiembre de 2022 reveló que se sabe que Magniber, una familia de ransomware, exige 2500 dólares a las víctimas.
En particular, los atacantes utilizaron técnicas inteligentes para evadir la detección, como ejecutar ransomware en la memoria, eludir el Control de cuentas de usuario (UAC) en Windows y eludir las técnicas de detección que monitorean los ganchos del modo de usuario mediante el uso de llamadas al sistema en lugar de las bibliotecas API estándar de Windows, según el informe. mostró.
El informe indicó que la cadena de infección comienza con una descarga web desde un sitio web controlado por los atacantes, y agrega que el usuario debe descargar un archivo ZIP que contiene un archivo JavaScript que supuestamente es un antivirus importante o una actualización de software de Windows 10.
Anteriormente, Magniber se propagaba principalmente a través de archivos MSI y EXE, pero en septiembre de 2022 comenzamos a ver campañas de ransomware distribuidas en archivos JavaScript.Los archivos JavaScript usan un tipo diferente de tecnología DotNetToJScript, lo que permite que un atacante cargue un ejecutable .NET en la memoria, lo que significa que ransomware no necesita ser guardado en el disco.
«Esta tecnología pasa por alto las herramientas de detección y prevención que monitorean los archivos escritos en el disco y reduce las fallas residuales en un sistema infectado. El código .NET descifra el shellcode y lo inyecta en otro proceso. El código ransomware se ejecuta desde este proceso: primero elimina los archivos de respaldo y desactiva las funciones Copia de seguridad y recuperación en Windows, antes de cifrar los archivos de la víctima.
Magniber requiere privilegios de administrador para deshabilitar la capacidad de la víctima para recuperar sus datos, por lo que el malware utiliza una omisión del Control de cuentas de usuario (UAC) para ejecutar comandos sin alertar al usuario. Sin embargo, para que esto funcione, el usuario que inició sesión debe ser parte del grupo Administradores. Para la tarea de cifrado, el malware enumera los archivos y compara su extensión con una lista. Si la extensión está en la lista, el archivo se cifrará.
Finalmente, el malware coloca una nota de rescate en cada directorio con un archivo encriptado y se la muestra a la víctima al abrir la nota en un navegador web”.
