Ojo: MortalKombat, el ‘ransomware’ que ya tiene su salvador

MortalKombat es un tipo de malware capaz de secuestrar equipos informáticos y encriptar varios archivos en el sistema o en el dispositivo electrónico de las víctimas, que fue identificado en enero de este año.

Este ransomware, que está basado en una familia llamada Xorist Commodity, se dirige tanto a usuarios como empresas. Una vez infectan los dispositivos, los ciberdelincuentes seleccionan los archivos y las aplicaciones que va a cifrar, publica una nota de rescate y pone como fondo de pantalla al personaje Scorpion, del popular videojuego homónimo.

Ahora bien, un héroe llegó para recuperar los datos afectados. Bitdefender lanzó un descifrador universal y gratuito dirigido para ayudar a las víctimas del ransomware llamado MortalKombat, restaurando así sus archivos y recuperando los datos e información robada tras un ataque de este tipo.

Desde la compañía de ciberseguridad recuerdan que MortalKombat incorpora también un componente de monitorización dirigido a los usuarios de criptomonedas, capaz de identificar las direcciones de las billeteras y las sustituye por otras controladas por el atacante para secuestrar las transacciones que registre.

Ante la peligrosidad de este software malicioso, Bitdefender ha lanzado un nuevo descifrador que permite a las víctimas de estas campañas recuperar archivos robados por MortalKombat.

Desde esta empresa han lanzado una serie de recomendaciones para evitar caer en las trampas de los atacantes, como no abrir enlaces de dudosa procedencia o abrir archivos adjuntos desconocidos.

Por otra parte, ha insistido en que las empresas deben asegurarse de que sus plataformas de seguridad estén actualizadas en todo momento con los denominados indicadores de compromiso (IOC), para buscar e identificar amenazas conocidas.

Que el ‘secuestro de datos’ no afecte los sistemas de seguridad de su empresa

Tenga cuidado en su empresa, pues en Latinoamérica se han presentado nuevos ataques de ransomware, conocido como ‘secuestro de datos’ que utilizan herramientas de evasión EDR (Endpoint Detection and Response).

Particularmente, Black Basta, que ha utilizado técnicas capaces de deshabilitar sistemas de seguridad, obteniendo accesos privilegiados y camuflándose en el sistema.

Dicho descubrimiento fue realizado por investigadores de Sentinel Labs. Francisco Camargo, CEO de CLM, aseveró que los investigadores describieron las tácticas, técnicas y procedimientos operativos de Black Basta en un informe que muestra la seriedad de los estudios publicados en el espacio abierto.

Aseveró que “en su análisis, los investigadores encontraron que instala herramientas personalizadas, sus ataques usan una versión encubierta de ADFind y explotan las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para escalar privilegios”.

Según el ejecutivo, los ciberdelincuentes inician sus ataques con un Qakbot, entregado por correo electrónico y documentos, que contienen macros, cuentagotas ISO+LNK y documentos .docx, que explotan la vulnerabilidad de ejecución remota de código MSDTC, CVE-2022-30190.

Agregó que “después de utilizar meticulosas técnicas de piratería, incluida la de convertirse en el administrador del sistema con una contraseña propia, borran sus huellas”.

Varios métodos

El informe explica que Black Basta usa varios métodos para el movimiento lateral, implementando diferentes scripts, en lotes, a través de Psexec en diferentes máquinas, para automatizar la terminación de procesos y servicios y socavar las defensas.

El llamado ‘secuestro de datos’ también se implementó en varias máquinas a través de Psexec. En los análisis más recientes observó un archivo por lotes llamado SERVI.bat implementado a través de Psexec en todos los puntos finales de la infraestructura de destino.

Igualmente, las investigaciones indican que las personas detrás del ‘secuestro de datos’ desarrollan y mantienen su propio conjunto de herramientas y excluyen a los afiliados o solo colaboran con un conjunto limitado y confiable de afiliados, similar a otros grupos de ransomware “privados”, como Conti, TA505 y Evilcorp.

Según dio a conocer el experto, “a medida que logramos arrojar luz detrás de la escurridiza operación de ransomware Black Basta, no nos sorprendería encontrar una cara familiar detrás de esta ambiciosa operación”.

Agregó que “si bien hay muchas caras nuevas y diversas amenazas en el espacio del ‘secuestro de datos’ y la extorsión dual, se espera que los equipos criminales profesionales existentes den su propio giro para maximizar las ganancias ilícitas de nuevas maneras”, entre otros.

*Con información de Europa Press.