Defray, nuevo ransomware que comienza a distribuirse en Internet

Escrito por Adrián Crespo

Los ransomwares continúan imparables. Son la amenaza de moda, y esto es algo que no se puede discutir. Los daños que provocan son importantes y si hablamos a nivel de administraciones públicas o empresas las pérdidas pueden ser incalculables si no se posee una copia de seguridad. Los expertos en seguridad han localizado una nueva amenaza que se está distribuyendo en Internet, conocida con el nombre de Defray.

Varias compañías han alertado de esta nueva amenaza que por el momento parece muy selectiva, o al menos en su etapa inicial. Por el momento se está centrando en afectar a instituciones y empresas importantes, aunque el número de países en los que se ha distribuido en un primer momento es bastante alto, o al menos comparado con otras.

Los expertos en seguridad han confirmado que Defray se está distribuyendo a través de documentos de Microsoft Word adjuntados en correos electrónicos. Los ciberdelincuentes indican a las víctimas que en el interior se podrán encontrar detalles de una factura pendiente o bien información sobre un requerimiento judicial. Al abrir el archivo, lo que se solicita en un primer momento es la activación de las macros. Obviamente, la amenaza no está contenido en el fichero, sino que se producirá su descarga si la macro logra ejecutarse.

Para ser más precisos, en lo que se refiere a su distribución, los propietarios realizaron una primera tentativa el pasado día 15, aunque su distribución fue escasa, siendo la realmente válida la iniciada el pasado día 25.

Los expertos en seguridad han tenido tiempo de analizar la amenaza, llegando a la conclusión de que su servidor de control se encuentra en defrayable-listings[.]000webhostapp[.]com.

Diferentes vías de difusión para Defray

Para ser más exactos, estamos hablando de que además de hacer uso de los mensajes de correo electrónico, el ransomware que nos ocupa también se distribuye ayudándose se scripts Powershell. En un artículo ya indicamos que la seguridad en lo que se refiere a la ejecución de este tipo de software es bastante deficiente. Esto quiere decir que muchas herramientas de seguridad no son capaces de detectar y detener a tiempo los scripts. En este caso las consecuencias serían fatales, ya que se produciría el cifrado de la información albergada en el disco duro del equipo infectado.

Una vez instalado dispondría de control total sobre el equipo si fuese necesario

O al menos sería capaz de realizar un amplio catálogo de tareas. Si el ciberdelincuente lo requiriese, sería capaz de listar las aplicaciones que se encuentran ejecución, recopilar información sobre los usuarios existentes en el sistema, listar los archivos y carpetas del sistema o realizar el cierre de determinadas aplicaciones de seguridad, aunque expertos en seguridad han constatado que no siempre se ejecuta esta función de forma correcta.

Por defecto, el ransomware Defray no inicia el cifrado del sistema de ficheros, sino que espera recibir una orden para que esto suceda, una filosofía que contrasta y mucho con lo visto hasta el momento. Esto quiere decir que nuestro equipo podría estar infectado y no ser conscientes de ellos, sobre todo si para ellos nos valemos en comprobar si los archivos han sido cifrados o no.

Fuente > Threatpost

Últimos análisis

Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10