GandCrab Ransomware se propaga a través del exploit de la NSA

GandCrab , una familia de ransomware que ha recibido numerosas actualizaciones en los últimos meses, ahora está intentando infectar máquinas con Windows XP utilizando el exploit EternalBlue vinculado a la NSA .

El malware generalmente se propaga a través de correos electrónicos no deseados, pero GandCrab 4, que surgió a principios de este mes, se está distribuyendo a través de sitios web comprometidos, dice Fortinet . El malware ahora agrega la extensión .KRAB a los archivos cifrados.

La nueva variante también incluye una revisión en términos de estructura de código, ha cambiado al cifrado de flujo Salsa20 para el cifrado de datos y también ha eliminado algunas de las características anteriores. Más importante aún, ya no requiere comunicación de comando y control (C & C) para encriptar archivos.

“Para esta última versión, hemos encontrado numerosos sitios web infectados inyectados con páginas maliciosas. Estas páginas redireccionan a los usuarios a una página separada que contiene el enlace de descarga que lleva al ejecutable GandCrab “, explica Fortinet.

Tanto el ejecutable del malware como los enlaces de descarga se están actualizando regularmente, dicen los investigadores de seguridad. De hecho, días después de la aparición de la versión 4, los autores del ransomware lanzaron GandCrab 4.1, que ya ha mostrado signos de comunicación en la red.

Lo que es más importante, como descubrió el investigador de seguridad Kevin Beaumont , el ransomware también intenta propagarse a través del exploit SME EternalBlue de la Agencia de Seguridad Nacional.

El aspecto más interesante de esta nueva capacidad es el hecho de que los sistemas Windows XP y Windows Server 2003 también están dirigidos, junto con los sistemas operativos modernos.

El exploit EternalBlue tiene como objetivo un error de seguridad en el Bloque de mensajes de servidor (SMB) de Windows en el puerto 445. Sin embargo, las fallas solo afectan las versiones anteriores del sistema operativo, principalmente Windows XP y Windows 7.

El exploit no estaba funcionando previamente en Windows XP, pero eso no impidió que ransomware como WannaCry intentara expandirse al usarlo. De hecho, numerosas familias de malware han estado abusando del exploit hasta la fecha, incluido el limpiador NotPetya .

Microsoft corrigió la vulnerabilidad que ataca EternalBlue antes de que el exploit se hiciera público , e incluso lanzó un parche de emergencia para Windows XP para mantener a los usuarios a salvo de WannaCry.

Por lo tanto, como señala Beaumont, la mejor defensa contra GandCrab y cualquier propagación de malware a través de EternalBlue es aplicar el parche disponible para todos los sistemas operativos, incluidos los antiguos Windows XP y Windows Server 2003.

“Muchos productos antivirus han perdido soporte para Windows XP y 2003, lo que hace que esto sea problemático. Probablemente desee asegurarse de que el personal sepa que no debe descargar cosas de BitTorrent, instalar software desconocido, ejecutar keygens, acceder a memorias USB aleatorias, etc. “, señala Beaumont.

Leave a Reply

%d bloggers like this: