Son muchas las amenazas que podemos encontrarnos al utilizar dispositivos en la red. Hay muchos tipos de malware que de una u otra forma pueden poner en riesgo nuestra seguridad y privacidad. Uno de ellos es el ransomware, que ha aumentado notablemente en los últimos años. Se trata de un problema que tiene como objetivo cifrar nuestros archivos y pedir posteriormente un rescate a cambio. En este artículo nos hacemos eco de un nuevo ransomware que utiliza un troyano ya existente para atacar.
ProLock, el ransomware que se ha unido a un troyano
ProLock es uno más de los muchos ransomware que por desgracia hay en la red. Como hemos mencionado el objetivo principal de este tipo de amenazas es cifrar los archivos de las víctimas. Posteriormente los ciberdelincuentes piden un rescate a cambio para permitir nuevamente acceder. No obstante hay algunas variedades que también están comenzando a filtrar datos, por ejemplo. Siempre con el objetivo de lucrarse.
Sin embargo ProLock tiene la peculiaridad de haberse asociado con un troyano ya existente. Se trata de QakBot. Este troyano puede brindarle diferentes funciones al ransomware para evitar ser detectado, hacer uso de algunas técnicas añadidas y la eliminación de credenciales.
Este ransomware utiliza técnicas similares a la de otras muchas variedades que podemos encontrar. Sin embargo cuenta con ciertas peculiaridades. ProLock utiliza servidores de protocolo de escritorio remoto (RDP) sin protección con credenciales débiles para infectar a algunas víctimas, una técnica bastante común para los operadores de ransomware (incluidos Nefilim, Nemty, Crysis y SamSam). Sin embargo, los investigadores dijeron que el vector de infección «más interesante» es QakBot.
QakBot es un troyano que en otras ocasiones se aprovechaba del malware Emotet en campañas. Se distribuye generalmente a través del correo electrónico con ataques Phishing, donde incluyen archivos Word maliciosos adjuntos. La víctima tendría que descargar ese archivo que recibe por e-mail y posteriormente habilitar las macros. A partir de ahí, se inicia PowerShell y se usa para descargar y ejecutar la carga útil QakBot desde el servidor de comando y control.
Ahora ProLock se aprovecha del uso de QakBot para utilizar brechas que existan. De esta forma puede lograr ataques más concretos y también tener más éxito. Principalmente utilizan la capacidad para evitar ser detectados.
Cómo evitar ser víctimas de este problema
Podemos evitar ser víctimas de esta amenaza siguiendo las recomendaciones clásicas que siempre mencionamos. Algo fundamental es el sentido común. Es vital no cometer errores a la hora de instalar software, no descargar posibles archivos maliciosos que recibamos por correo electrónico o redes sociales.
También será fundamental contar con herramientas de seguridad. Un buen antivirus puede evitar la entrada de amenazas que comprometa nuestros sistemas. Es importante siempre tener este tipo de programas que nos ayuden a defendernos.
Por último, hemos visto que este tipo de amenazas suelen basarse también en vulnerabilidades que encuentran. Podemos corregir los fallos de seguridad al instalar las últimas actualizaciones y parches que haya disponibles.
Os dejamos un artículo donde hablamos de cuándo son más comunes los ataques de ransomware.