El Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT) detectó una nueva variante del ransomware Mimic con herramientas de personalización avanzadas y capacidades para desactivar mecanismos de seguridad. Esta nueva amenaza, denominada “ElPaco”, es capaz de detener las operaciones del dispositivo, eliminar datos de respaldo y bloquear el acceso a las acciones de recuperación, dejando una nota de extorsión para pedir el pago de rescate.
Tras su ejecución, este nuevo ransomware implementa una serie de herramientas maliciosas y utilidades legítimas que le permiten desactivar las defensas del sistema, cifrar una amplia gama de tipos de archivos y realizar acciones para garantizar la persistencia. Cabe destacar que este ataque no tiene como destino cualquier tipo de archivo, sino que apunta a un conjunto específico de extensiones y excluye otras para evitar dañar archivos esenciales del sistema.
“ElPaco” es una amenaza importante tanto para individuos como para empresas, capaz de evadir la detección y obstaculizar los esfuerzos de recuperación. Desde Kaspersky informaron que ya se detectaron casos en distintos países del mundo, como Estados Unidos, Alemania, Rumania, Corea del Sur y el Reino Unido.
Esta variante del ransomware Mimic, es un programa muy avanzado que ataca sistemas de Windows y utiliza una combinación de herramientas maliciosas y programas legítimos para tomar control del equipo afectado. Su modus operandis comienza con un archivo que se extrae por sí mismo, el cual contiene varias herramientas, incluyendo una utilidad de búsqueda de archivos que parece inofensiva, pero que en realidad ayuda al malware a encontrar archivos importantes de forma más rápida. Luego, desactiva las protecciones de seguridad del sistema, como Windows Defender, y comienza a cifrar los archivos importantes, tanto en el equipo como en las redes a las que esté conectado.
«El ransomware ElPaco asegura su operación continua mediante mecanismos persistentes, modificaciones en el registro y tácticas contra el apagado. Su enfoque específico de cifrar datos esenciales del usuario, dejando intactos archivos críticos del sistema, garantiza que el dispositivo de la víctima siga siendo funcional, facilitando el pago del rescate”, comentó Ashley Muñoz, Especialista en Respuesta a Incidentes del Equipo de Respuesta a Emergencias Globales de Kaspersky. Además, explicó que para poder contrarrestar estas amenazas tan sofisticadas, las organizaciones deben implementar defensas sólidas que incluyan la detección en endpoints, monitoreo avanzado de comportamiento y copias de seguridad regulares que permitan mitigar el impacto de estos ataques.
Recomendaciones
- Mantenerse actualizados: contar con las últimas versiones de los sistemas operativos, las aplicaciones y el software de seguridad permiten mitigar las vulnerabilidades que frecuentemente explotan las amenazas cibernéticas.
- Capacitación frecuente: un equipo de empleados entrenados para que sean capaces de identificar las tácticas de ingeniería social que busca engañarlos, es una buena manera de prevenir los ciberataques.
- Implementar copias de seguridad: realizar estas acciones de manera periódica, tanto de datos como de sistemas críticos, permite minimizar el impacto de los ataques de ransomware o la pérdida de datos resultante de infecciones de malware.
- Implementar soluciones de seguridad para endpoints: utilizar herramientas como Kaspersky Next EDR Foundations permite mantener a su empresa a salvo del ransomware y de otros tipos de malware.
- Conocer las últimas tendencias: acceder constantemente a los distintos reportes de ciberseguridad permite conocer cuáles son las tendencias en ciberseguridad y así proteger la información de una empresa de las amenazas.
Para conocer más información sobre este tipo de ransomware y las distintas amenazadas identificadas por Kaspersky, se puede visitar el siguiente enlace.
