Tecnología

«Cerber» es un malware que se aprovecha de la vulnerabilidad de Windows 10

Cerber es una familia relativamente nueva de ransomware que ha estado atacando con mucha fuerza en los últimos meses y que forma parte de un nuevo tipo de malware detectado en nuestro laboratorio PandaLabs, como una de las amenazas que están utilizando los ciberdelincuentes para aprovechar las vulnerabilidades de la herramienta PowerShell incluida en Windows 10.

Según comenta Luis Corrons, director técnico de PandaLabs, los ciberdelincuentes parecen haber hallado muchas maneras de “utilizar” la herramienta que, como su propio nombre indica, es muy potente. “Una de las formas más sencillas es hacer que descargue y ejecute un archivo de malware. Para hacerlo, primero hay que conseguir ejecutar PowerShell mediante un script, macros incluidas en documentos de Office o mediante un exploit. En el caso de Cerber lo más habitual es el uso de exploit kits o herramientas diseñadas para la explotación de vulnerabilidades”.

Los datos recopilados por PandaLabs indican que en los últimos 3 meses se han bloqueado más de 3.000 intentos de infección que empleaban PowerShell para descargar y ejecutar malware.

A primera vista, la mayoría del malware parece ser Cerber, aunque también se podrían haber utilizado otras familias de ransomware. La mayoría de estos ataques tuvieron lugar en las primeras semanas de julios. De hecho, si nos remontamos a octubre del año pasado, podemos ver que ésta es la mayor oleada de ataques con esta técnica de infección de los últimos 10 meses:

Algunos de los miles de hashes de este malware bloqueados en Panda Labs, están disponibles en este link: ransomware_list

Otra forma bastante habitual hoy en día de ejecutar malware, que hemos identificado, para infectar a víctimas con Cerber es mediante WMIC, la consola de Windows que permite el uso de la línea de comandos para acceder al WMI (Instrumental de Administración de Windows). Hasta ahora, todos los casos que hemos visto utilizan exploits en equipos con Internet Explorer. El método empleado es el siguiente: se descarga una muestra de malware en el equipo y, en lugar de ejecutarla directamente, se utiliza WMIC para ejecutarla (esto tiene como objetivo camuflar el ataque como si fuese un comportamiento legítimo ya que WMIC es goodware que pertenece al sistema operativo Windows), explicó Corrons, y agregó que en las últimas cuatro semanas, en PandaLabs se han bloqueado más de 3.000 intentos de infección que utilizaban esta técnica. Algunos de los hashes de ransomware que emplean esta técnica y que hemos neutralizado en las últimas semanas están disponibles en este enlace: ransomware_list2

Fundado hace 28 años, Analitica.com es el primer medio digital creado en Venezuela. Tu aporte voluntario es fundamental para que continuemos creciendo e informando. ¡Contamos contigo!
Contribuir

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba