Matrix, un nuevo ransomware que exige rescates de 2.500 euros

matrix.jpg1200×630 256 KB

Tras la escalada de SamSam, Dharma y BitPaymer en 2018, el equipo de SophosLabs ha descubierto un nuevo ransomware activo desde 2016 . Bajo el nombre de Matrix se esconde un malware capaz de cambiar sus parámetros de ataques a medida que pasa el tiempo, añadiendo nuevos archivos y scripts para desplegar diferentes tareas y cargas útiles en la red.

Así actúa Matrix, un nuevo ransomware dirigido

Al igual que BitPaymer, Dharma y SamSam, Matrix obtiene el acceso a través de una contraseña RDP (Remote Desktop Protocol) débil, una herramienta de acceso remoto integrada para ordenadores con Windows. Sin embargo, a diferencia de estas otras familias de ransomware, Matrix solo se dirige a un único dispositivo en la red , en lugar de extenderse ampliamente a través de una organización.

El equipo de SophosLabs ha deconstruido el ransomware Matrix para saber cómo operan los ciberdelincuentes y ha observado que las notas de rescate de Matrix están incrustadas en el código del ataque , pero las víctimas no saben cuánto deben pagar hasta que se ponen en contacto con los atacantes . En un principio, los autores de Matrix utilizaban un servicio de mensajería instantánea anónima que se encontraba protegido criptográficamente, llamado bitmsg.me, pero ese servicio se interrumpió, por lo que los autores han vuelto a utilizar cuentas de correo electrónico normales.

Los ciberdelincuentes exigen el rescate en criptomonedas , “pero teniendo como equivalente el valor de dólar, lo que es inusual ya que en estos casos se suele usar solo criptodivisas” apuntan desde Sophos. No está claro si la demanda de rescate es un intento deliberado de desviar la atención, o simplemente un intento de navegar por los tipos de cambio de criptomonedas que fluctúan de manera incontrolable. Por lo general, los ciberdelincuentes empiezan solicitando 2.500 dólares, pero a medida que las victimas disminuyen su interés por pagar el rescate, la cifra puede disminuir.

Los expertos de Sophos afirman que “Matrix es la navaja suiza del mundo del ransomware, con algunas novedades, como su amplia capacidad de analizar y encontrar potenciales víctimas una vez logra entrar en la red. Matrix está evolucionando y aparecen versiones más nuevas a medida que el atacante aprenden de cada ataque”.

Para combatir este tipo de ataques, Sophos recomienda implementar inmediatamente cuatro medidas de seguridad :

1. Restringir el acceso a aplicaciones de control remoto como Remote Desktop Protocol (RDP) y Virtual Network Computing (VNC).
2. Realizar análisis de vulnerabilidades y pruebas de penetración completas y regulares en toda la red.
3. Hacer una autenticación multifactorial para sistemas internos sensibles, incluso para empleados en la LAN o VPN.
4. Crear copias de seguridad offline and offsite, y desarrollar un plan de recuperación de información que cubra la restauración de datos y sistemas para organizaciones enteras, todo a la vez.

Lo que proponen como medida preventiva es lo que se especifica en cualquier plan de análisis forense y prevención ante catástrofes.

Bueno en realidad son medidas de protección generales para el ransomware que tanto afecta hoy en día a las empresas y especialmente ingresando de forma semi-manual via ataques RDPs en donde los ciberdelincuentes se las pueden ingeniar para una vez dentro desconectar toda medida de protección por porte de los Antivirus y así moverse libremente escalando privilegios en la red corporativa.

Matrix ransomware es uno mas… pero los que mayores ataques han llevado a cabo de este modo hasta el momento son SamSam y CrySiS/Dharma, siendo el primero mas especifico a hospitales, y el segundo, de forma mas genérica a cualquier empresa vulnerable.

Repetir una y otra vez las recomendaciones nunca esta de mas, ya que no todos las siguen o se enteran.

Salu2

Teniendo el Malwarebytes con protección en tiempo real, ¿Bloquearía estos ataques, o las empresas no utilizan protección?

Saludos.

Si las empresas u hospitales se tomaran el tiempo de invertir en seguridad, y actualizar su sistemas operativos y proteccion, los ransomware no tendrian bastante probabilidad de atacar y secuestrar los sistemas operativos de estas empresas, hospitales y otros negocios. Siempre guardar una copia de seguridad de todo en algun lugar para prevenir esto.

Si lo hace, Malwarebytes al igual que la mayoría de empresas de Antivirus de renombre, tiene sus versiones para empresas que si bien están basadas en los mismos motores que para los usuarios, tienen algunas otras ventajas como el poder controlar desde la nube todos los equipos que tengas (endpoints) y hasta con un sistema de volver atrás los archivos que puedan ser afectados por un ransomware

1325×828 57.2 KB

Ahora bien, la protección de las empresas es mucho mas compleja que cuidar un solo ordenador ya que para empezar tienes muchas mas maquinas, y a su vez mas usuarios interactualndo con estas. Por otro lado tiene que estar bien gestionada la protección con la que cuentes… ya que en estos casos de ataques ataques RDPs, de nada sirve tener los mejores antivirus o programas de seguridad, si tienes expuesto el RDP a la red con contraseñas débiles…

En estos casos, los ataques son semi-manuales… los ‘chicos malos’ tiran un bot (arania) que va rastreando la red en búsqueda de maquinas expuestas y vulnerables a este tipo de ataque y una vez encontrada le informa al pirata que puede ingresar a esa red y lanzar su ransomware, previamente apagando manualmente las protecciones.

Salu2