El ransomware se ha convertido en una de las amenazas más importantes que podemos encontrar en Internet. Como sabemos es un tipo de malware que tiene como objetivo cifrar nuestros archivos y sistemas para posteriormente pedir un rescate a cambio. Es algo que afecta tanto a usuarios particulares como también a empresas. Con el paso del tiempo además los piratas informáticos han ido perfeccionando sus técnicas. En este artículo vamos a hablar de Thanos, que se ha convertido en el primer ransomware en utilizar la técnica RIPlace para evitar ser detectado.
Thanos, el primer ransomware en usar la técnica RIPlace
Es cierto que tenemos más herramientas y técnicas para protegernos. Los sistemas están más preparados para detectar amenazas como el ransomware. El problema es que los ciberdelincuentes también han perfeccionado sus técnicas. Mejoran la manera en la que propagan la amenaza y sobre todo en cómo evitan ser detectados.
Thanos es uno más de los muchos ransomware que por desgracia hay en la red y que comprometen la seguridad y privacidad de los usuarios. Sin embargo cuenta con una novedad importante, y es que es el primero en utilizar la técnica RIPlace, algo que le permite eludir la seguridad y hacer que sea más difícil evitarlo. Esta amenaza afecta a los usuarios de Windows.
Hay que mencionar que Thanos es un ransomware RaaS, o como servicio, donde tiene afiliados que se reparten las ganancias. Esto hace que haya más actores que puedan infectar equipos con esta amenaza.
Ahora bien, lo que realmente hace que Thanos sea diferente es el hecho de utilizar la técnica RIPlace. ¿En qué consiste esta técnica? Es una manera de evadir la detección del ransomware por parte del sistema. Es una técnica que fue descubierta por la empresa de seguridad informática Nyotron hace unos meses.
Desde Nyotron descubrieron que cuando el ransomware cambia el nombre de un archivo a un enlace simbólico creado usando la función DefineDosDevice (), el software anti-ransomware no detectaría con precisión la operación. Eso es lo que hace Thanos, que se convierte así en el primer ransomware que se tenga constancia de que usa esta técnica.
Al activar esta técnica, sus funciones de monitoreo recibirían un error, mientras que el cambio de nombre seguiría funcionando y, por lo tanto, omitiría el programa anti-ransomware.
Algunos antivirus modificaron su software
Hay que indicar que cuando informaron desde Nyotron de esta técnica, muchas herramientas de seguridad lo consideraban como algo una técnica teórica y que no se usaría realmente. Sin embargo otras empresas de software de seguridad (la minoría) como Kaspersky o Carbon Black modificaron su software para evitar esta técnica.
Ahora parece que los responsables de Thanos han decidido explotar esta técnica denominada RIPlace y convertirse así en el primer ransomware en hacerlo. ¿Veremos más próximamente? ¿Adaptarán las herramientas de seguridad las medidas para evitarlo?
El ransomware, como vemos, es una amenaza muy importante y que está muy presente en nuestro día a día. Es por ello que debemos tomar siempre medidas para evitar ser víctimas. Os dejamos un artículo donde damos algunos consejos sobre cómo protegernos del ransomware.