Nuevo ransomware se salta las protecciones del PC

05/01/2022

Noticias Ciberseguridad

 

En octubre del pasado año informábamos de que 1 de cada 5 empresas ha sido víctima de un ataque ransomware.

Ahora se ha descubierto un nuevo virus ransomware llamado AvosLocker que es capaz de evadir el software de seguridad que esté instalado en el ordenador.

Una de las principales características del ransomware AvosLocker es que utiliza la herramienta de control remoto AnyDesk y la ejecuta en modo seguro de Windows, algo que ya hacían los ciberdelincuentes detrás de los ransomwares REvil, Snatch y BlackMatter para deshabilitar la seguridad y las herramientas de administración de TI de sus objetivos.

 

 

AnyDesk es una aplicación legítima de administración remota que últimamente se ha convertido en una alternativa popular a TeamViewer entre los ciberdelincuentes debido a que ofrece las mismas funcionalidades. Así, al ejecutar AnyDesk en modo seguro mientras están conectados a la red, los cibercriminales pueden mantener el control de las máquinas infectadas.

La estrategia de utilizar el modo seguro de Windows se debe a que muchos productos de seguridad para equipos finales no funcionan en modo seguro. El modo seguro es una configuración de diagnóstico especial de Windows en la que se deshabilitan la mayor parte de los controladores y software de terceros, lo que puede hacer que en ese momento los equipos que damos por hecho que están protegidos, no sean seguros.

Los atacantes de AvosLocker reinician los equipos en modo seguro en las etapas finales del ataque y después modifican la configuración de arranque del modo seguro para permitir que AnyDesk se instale y ejecute. Si el equipo está configurado para ejecutar AnyDesk en modo seguro, es posible que los propietarios legítimos no puedan administrar de forma remota ese ordenador si el delincuente cambia las claves de acceso, lo que significa que necesitarán tener acceso físico al ordenador infectado para administrarlo, algo que puede plantear graves problemas para una gran red de ordenadores y Servidores con Windows.

Según hemos podido saber, el modo de funcionamiento del ransomware AvosLocker es el siguiente:

  • Los ciberdelincuentes envían varios scripts por lotes de Windows a las máquinas objetivo, incluidos Love.bat, update.bat y lock.bat y estos scripts desactivan los productos de seguridad que pueden ejecutarse en modo seguro.
  • Se desactiva Windows Defender.
  • Permiten que la herramienta de administración remota AnyDesk del ciberdelincuente pueda ejecutarse en modo seguro.
  • Configuran una nueva cuenta con detalles de inicio de sesión automático.
  • Se conectan al controlador de dominio del objetivo para conseguir acceso remoto y ejecutar el ejecutable del ransomware llamado update.exe.

Hace un tiempo compartimos en estas páginas un artículo en el que detallábamos cómo protegerse de los virus ransomware y que podéis revisar como guía a tener en cuenta para evitar en lo posible ser víctimas de estas amenazas.

Y como siempre recordamos, es importantísimo reforzar los equipos informáticos con las siguientes soluciones:

  • Antivirus: tener un antivirus habilitado, actualizado y correctamente configurado ayuda a protegerse no solamente frente a ataques de ransomware, sino también ante otro tipos de virus, programas espía, malware, etc.
  • VPN: hoy en día es muy importante contar con una VPN que permita acceder de modo seguro a la red interna de la empresa desde cualquier lugar del mundo por ejemplo para teletrabajar como si estuviésemos físicamente en la empresa.
  • Copias de seguridad: resulta imprescindible disponer de un completo, seguro y eficiente backup en la nube que se compruebe periódicamente para verificar que las copias se están haciendo correctamente y que sabremos cómo restaurar la información en caso de necesidad.
  • Auntentificación de doble factor: resulta de gran interés contar con una capa de seguridad extra en el proceso de inicio de sesión de las cuentas y servicios de Internet de la empresa haciendo que sea necesario verificar mediante 2 criterios diferentes la titularidad o permiso para acceder.
  • Firewall: es muy recomendable contar con un sistema cuya función es prevenir y proteger nuestra red privada de intrusiones o ataques bloqueándoles el acceso.

En RecuperaData, además de nuestro completo servicio profesional de recuperación de datos de todo tipo de soportes informáticos, podemos facilitar todo lo anterior a aquellos clientes que lo necesiten ☺️.

 

Os recordamos que ante una pérdida de datos de cualquier tipo de dispositivo informático (disco duro, RAID, NAS, disco SSD, tarjeta de memoria, pendrive, SSD M.2, smartphone, etc.) y provocada por cualquier motivo, siempre podéis poneros en contacto con nosotros con total tranquilidad y sin compromiso:

  • Telefónicamente en el 944 467 254 de lunes a viernes en horario de 9 a 17h.
  • Rellenando cualquiera de los formularios de contacto de esta web.
  • Os aconsejaremos sobre cómo proceder y os informaremos de la mejor opción para vuestro caso.

 

#ciberseguridad #recuperardatos #recuperacióndedatos #RecuperaData

 

Ver otras Noticias de Ciberseguridad

CONTACTAR con RecuperaData

Si necesita contactar con nosotros para contratar nuestros servicios recuperación de datos u otros servicios de ciberseguridad, puede hacerlo a través del FORMULARIO que ofrecemos a continuación o mediante los datos de contacto indicados más abajo.

Su consulta se ha enviado correctamente.

¡ERROR! Vuelva a rennviar el formulario rellenado todos los campos.

He leído y acepto la Política de Privacidad

*Revise siempre las carpetas de SPAM o CORREO NO DESEADO para evitar perder nuestras comunicaciones.

 

Llame Ahora

944 467 254

Formulario

Rellene el Formulario de la izquierda

Top