El Centre Criptològic Nacional (CCN), ha elaborat un Informe de Codi Nociu de la variant de ransomware Eking
Descripció
L'objectiu d'aquest ransomware és xifrar els fitxers dels sistemes infectats i segrestar-los per, posteriorment, sol·licitar el pagament d'un rescat a canvi de l'eina de desxiframent.
Es tracta d'una variant de Phobos, família de ransomware que va aparèixer a principis de 2019. A causa de les diferents extensions que aquest ransomware ha utilitzat (opció possiblement personalitzable al builder), és freqüent trobar referències a aquest codi nociu basades únicament en l'extensió que afegeix als fitxers xifrats. Tant la nota de rescat com la nomenclatura dels documents que han patit modificacions recorden al ransomware Dharma, família que evoluciona del ransomware Crysis i que va sorgir el 2016.
Aquestes variants han estat relacionades, històricament, amb accessos cap a les xarxes internes de companyies aprofitant serveis RDP exposats a Internet. Tanmateix, avui dia són tan nombrosos els actors involucrats en ransomware, que és difícil relacionar una variant concreta amb un vector d'entrada. Els grups cibercriminals aprofitaran qualsevol vector que els garanteixi laccés il·lícit a la xarxa local.
Distribució
De moment, s'ha detectat que el virus és més activament distribuït a través de pàgines torrent empaquetat amb cracs d'Adobe Acrobat. Tanmateix, tal com comentàvem, els administradors de ransomware poden també explotar RDP obertes o difondre la càrrega explosiva a través d'arxius adjunts maliciosos spam (words, excel, powerpoint…).
Desinfecció
Per evitar desencadenar l'encriptació, és convenient eliminar l'executable de les rutes on s'instal·la per assegurar-ne la persistència. Al informe del CNN es detalla la informació.
De moment no hi ha un desencriptador que funcioni, només és possible mitjançant l'ús de la clau privada del parell master gestionada pels segrestadors, per la qual cosa evitar l'execució de codis maliciosos és la millor prevenció.
Prevenció
Implementar mesures de seguretat al correu electrònic perquè no permetin l'enviament d'adjunts potencialment maliciosos (.exe, .vbs, etc) i deshabilitar sempre l'execució per defecte de les Macros en fitxers ofimàtics (Word, Excel, Powerpoint…). Aviseu sempre que el correu sigui de procedència externa a l'organització per extremar precaucions.
Bloquejar l'execució de PowerShell als equips sense ser administrador.
Disposar de sistemes antivirus avançats (EDR, ATP, etc) que detectin comportaments estranys en memòria RAM.
Configurar el sistema segons les premisses de Seguretat per defecte i Mínims privilegis. Els usuaris han de tenir molt limitats els accessos als recursos de l'empresa (no han de ser administradors de la màquina i accedir només a les carpetes necessaris a la xarxa corporativa) disposant només dels permisos justos i necessaris per a la feina diària. Limitar-lo per defecte l'accés a l'usuari, limitarà l'abast a un possible atac de ransomware.
Disposar de Backups dels sistemes d'informació i seguir la regla de còpies de seguretat 3-2-1, i un bon pla de recuperació.
tenir els sistemes actualitzats sempre (sistemes operatius, aplicacions, dispositius hardware, firmware…). Per això, el millor és poder elaborar un Pla de Manteniment.
