México, en la mira de ShrinkLocker; nuevo ataque de ransomware

Los cibercriminales han desarrollado un nuevo tipo de ransomware denominado ShrinkLocker, que ha centrado sus ataques en países como México, Indonesia y Jordania. Según la investigación realizada por expertos de Kaspersky, este ransomware utiliza una herramienta legítima de Microsoft, BitLocker, con fines maliciosos, transformando una medida de seguridad en una amenaza significativa.

ShrinkLocker funciona aprovechando VBScript, un lenguaje de programación utilizado para automatizar tareas en sistemas Windows. Una vez que el código malicioso infecta un equipo, verifica la versión del sistema operativo y activa las funcionalidades de BitLocker para cifrar archivos corporativos. Esto afecta tanto a sistemas nuevos como a versiones antiguas de Windows, incluso desde Windows Server 2008.

El peligro radica en la capacidad de este ransomware para adaptarse a diferentes versiones de Windows, lo que lo hace una amenaza altamente versátil y difícil de detectar. Además, una vez que BitLocker se activa de forma maliciosa, los cibercriminales eliminan las medidas de protección, impidiendo que las víctimas puedan recuperar sus archivos. El ataque finaliza con un apagado forzado del sistema y un mensaje que indica que no hay opciones de recuperación de BitLocker disponibles.

ShrinkLocker ha sido utilizado principalmente en ataques dirigidos a empresas del sector industrial, de fabricación de vacunas y organizaciones gubernamentales en los países mencionados. Aunque Kaspersky no ha revelado el número exacto de empresas afectadas, se sabe que el ransomware está siendo activamente utilizado en estas regiones.

Recomendaciones para prevenir ataques de ShrinkLocker:

  1. Implementar software de seguridad robusto: Asegurarse de que el software esté correctamente configurado para detectar amenazas que intenten utilizar BitLocker de manera maliciosa.
  2. Limitar privilegios de usuario: Restringir los privilegios de los usuarios en la red y evitar la activación no autorizada de funciones de cifrado o la modificación de claves de registro.
  3. Habilitar el registro y supervisión del tráfico de red: Monitorear el tráfico para detectar cualquier intento de transmisión de contraseñas o claves a dominios fraudulentos.
  4. Supervisar la ejecución de VBScript y PowerShell: Almacenar los scripts y comandos registrados en un repositorio externo para rastrear cualquier actividad sospechosa.
  5. Realizar copias de seguridad periódicas: Mantener copias de seguridad offline y comprobar regularmente su integridad para asegurarse de que los datos puedan ser restaurados en caso de un ataque.

Entradas relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *