Ransomware ‘ElPaco’ desactiva medidas de seguridad y destruye respaldos
Postado por Redacción Portal ERP México em 02/12/2024 em IT SecurityCompartir:
La amenaza deriva del ransomware Mimic y utiliza herramientas avanzadas para cifrar archivos y obstaculizar los esfuerzos de recuperación.
Foto: cortesía. Portal ERP México.
El Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT) detectó una nueva variante del ransomware Mimic con herramientas de personalización avanzadas y capacidades para desactivar mecanismos de seguridad. Se trata de “ElPaco”, capaz de detener las operaciones del dispositivo, eliminar datos de respaldo y bloquear el acceso a las acciones de recuperación, dejando una nota de extorsión para pedir el pago de rescate.
Tras su ejecución, “ElPaco” implementa una serie de herramientas maliciosas y utilidades legítimas, lo que le permite desactivar las defensas del sistema, cifrar una amplia gama de tipos de archivos y realizar acciones para garantizar la persistencia. También cifra archivos críticos en unidades locales y de red, dejando una nota de rescate para la víctima y apunta a un conjunto específico de extensiones de archivos, mientras excluye otras para evitar dañar archivos esenciales del sistema.
Te puede interesar: Aumentan 165% ataques de ransomware en México
“ElPaco” es una amenaza importante tanto para individuos como para empresas, capaz de evadir la detección y obstaculizar los esfuerzos de recuperación. Esta variante Mimic, es un programa muy avanzado que ataca sistemas de Windows. Utiliza una combinación de herramientas maliciosas y programas legítimos para tomar control del equipo afectado. Comienza con un archivo que se extrae por sí mismo, que contiene varias herramientas, incluyendo una utilidad de búsqueda de archivos que parece inofensiva, pero que en realidad ayuda al malware a encontrar archivos importantes de forma más rápida. Luego, desactiva las protecciones de seguridad del sistema, como Windows Defender, y comienza a cifrar los archivos importantes, tanto en el equipo como en las redes a las que esté conectado.
"El ransomware ELPACO asegura su operación continua mediante mecanismos persistentes, modificaciones en el registro y tácticas contra el apagado. Su enfoque específico de cifrar datos esenciales del usuario, dejando intactos archivos críticos del sistema, garantiza que el dispositivo de la víctima siga siendo funcional, facilitando el pago del rescate. Para contrarrestar amenazas tan sofisticadas, las organizaciones deben implementar defensas sólidas que incluyan detección en endpoints, monitoreo avanzado de comportamiento y copias de seguridad regulares para mitigar el impacto de estos ataques", comenta Ashley Muñoz, Especialista en Respuesta a Incidentes del Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT).
