Recientemente se ha detectado una gran cantidad de ataques relacionados a una nueva familia de ransomware, el Snake, la misma afecta a grandes compañías y proveedores de servicios médicos. Dicho ransomware en particular cifra los archivos de la compañía restringiendo el acceso a estos y seguidamente exige dinero en bitcoin para restablecer el acceso a los datos comprometidos.
Acorde con los diversos casos reportados, estos delincuentes tratan de sacar provecho de la pandemia del COVID-19 para forzar el pago de rescate centrando así su objetivo en las compañías de salud.
¿Que es Snake?
Es un ransomware diseñado para atacar a redes empresariales, con el fin de encriptar todos los archivos de las computadoras pertenecientes a una red, utilizando los algoritmos criptográficos AES-256 Y RSA-2048.
Por otro lado, crea también automáticamente una nota de rescate dentro del sistema «Fix-Your-Files.txt», en donde da a entender a las víctimas que la única forma de restablecer el acceso a los archivos bloqueados, es realizando la compra (generalmente con Bitcoin) de la herramienta de descifrado creada por los mismos delincuentes. Además brindan un correo de contacto, en caso de que la víctima esté “interesada” en realizar la supuesta compra, y asegura que 3 archivos de hasta 3MB de tamaño serán descifrados «gratuitamente» una vez que la víctima envíe un correo electrónico a la dirección de correo proporcionada. Cabe recalcar que los archivos permanecen cifrados incluso cuando es eliminado el ransomware del sistema operativo.
Esto se trata de una estafa y no es recomendable realizar ningún pago ya que es muy probable que no envíen la supuesta “herramienta” o de hacerlo, podrían incluir otros malwares en la herramienta de descifrado, poniendo en peligro la integridad de los datos.
¿Cómo se propaga este malware?
En general los ransomwares pueden ser distribuidos de diferentes maneras, todas dependen de la creatividad del delincuente, pero lo habitual a través de correo electrónico con un archivos adjunto (ejecutables, RAR, ZIP) y/o enlaces maliciosos.
Otra alternativa utilizada por los delincuentes, son las fuentes de descargas de software no confiables, donde buscan disfrazar programas maliciosos como legítimos y así lograr que sus víctimas lo descargue y ejecute.
Recomendaciones:
- Algunos aspectos a tener cuenta para identificar si un equipo ha sido infectado con snake u otro ransomware:
- No es posible abrir los archivos almacenados en la computadora,
- Los archivos cuentan con una extension diferente (my.docx.locked por ejemplo) y
- Generalmente existe a un pedido de rescate.
- En caso de estar infectado, es recomendable seguir los siguientes pasos para eliminar el ransomware del sistema
1. Iniciar el equipo en modo seguro:
a. Para usuarios de Windows XP y Windows 7:
1 . Haga clic en «reiniciar», y durante el proceso de inicio de su equipo, presione la tecla «F8« en su teclado varias veces hasta que vea el menú «Opciones avanzadas de Windows« y,
2. Seleccione «Modo seguro con funciones de red».
b. Para usuarios de Windows 8:
1. Presione el botón de «Windows (
)+ C»,
2. Haga clic en «Configuración» > «Cambiar configuración de PC» > «Actualizar y recuperar» > «Recuperar»,
3. En esta ventana presione el botón de «Reiniciar ahora».
4. El equipo procederá a reiniciarse, una vez listo haga clic en «Opciones avanzadas»> «Configuración de inicio»> «Reiniciar» y
5. Seleccione «Modo seguro con funciones de red».
c. Para usuarios de Windows 10:
1. Presione el botón de «Windows ( )», en la barra de búsqueda escriba «Opciones de recuperación»,
2. Luego en el apartado de Inicio avanzado haga clic en «Reiniciar».
3. El equipo procederá a reiniciarse, una vez listo haga clic en «Solucionar problemas» > «Opciones avanzadas» > «Configuración de inicio» > «Reiniciar» , y
4. Seleccione «Modo seguro con funciones de red».
2. Una vez que el sistema inicia en modo seguro, inicie sesión en la cuenta infectada con el ransomware, abra el navegador y descargue una herramienta antivirus legítima (como Avast, ESET, Bitdefender, etc), realice un escaneo completo del sistema y elimine todas las entradas maliciosas.
- En caso de no ser posible el inicio seguro con funciones de red del equipo, se recomienda realizar una restauración del sistema, para ello inicie el equipo en “Modo seguro con símbolo del sistema” siguiendo los siguientes pasos:
1. Durante el proceso de inicio, presione la tecla «F8» varias veces hasta que aparezca el menú de Opciones avanzadas de Windows, allí selecciona Modo Seguro con Símbolo del sistema y presione «ENTER»
2. Una vez que el símbolo del sistema cargue completamente, ingrese el siguiente comando: «cd restore y presione Enter»
3. Luego escriba el siguiente comando: «rstrui.exe y presione Enter».
4. En la ventana abierta. haga clic en «Siguiente»
5. Seleccione uno de los puntos de restauración disponibles y luego haga click en siguiente. Esto restaurara el sistema a una fecha y hora anterior, antes de haber sido infectado por el malware.
6. Finalmente, en la ventana abierta haga click en «Si«
7. Una vez restaurado el ordenador, se recomienda descargar un antivirus (como Avast, ESET, Bitdefender) y realizar un escaneo completo del equipo para eliminar archivos restantes del ransomware.
- No abra nunca correos sospechosos, tanto si vienen de usuarios conocidos como desconocidos. Asegurarse siempre de que la persona que le ha enviado el correo realmente necesite remitir un archivo adjunto.
- Evite abrir los archivos adjuntos sospechosos. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un virus, por lo que es mejor ser precavido.
- No ingrese a enlaces dudosos enviados a través de correo electrónico, servicios de mensajería, redes sociales, etc.
- Realice copias de seguridad (backup) de toda la información crítica para limitar el impacto de la pérdida de datos o del sistema y para facilitar el proceso de recuperación. Idealmente, estas copias deben ser hechas de forma regular y deben mantenerse en un dispositivo independiente (disco duro externo, o servicios en la nube como OneDrive, Dropbox, etc.)
- Cuente con soluciones de antivirus/firewall y manténgalo actualizado, de modo a prevenir la infección.
- Mantenga su sistema operativo y el software siempre actualizado, con los últimos parches.
- No acceda nunca a ningún pago u acción exigida por el atacante. Además de no existir ninguna garantía por parte de los delincuentes, en muchas ocasiones, víctimas que han pagado el rescate no han podido recuperar sus archivos.
- En caso de ser víctima de ransomware, puede reportar el incidente al CERT-PY, enviando un correo a abuse@cert.gov.py.
Referencias:
- https://noticiasseguridad.com/hacking-incidentes/la-empresa-medica-mas-grande-con-300000-empleados-infectados-por-snake-ransomware-el-antivirus-eset-y-solarwinds-siem-no-lo-protegieron/
- https://haycanal.com/noticias/13966/el-nuevo-ransomware-snake-puede-eliminar-los-sistemas-de-control-industrial
- https://www.pcrisk.es/guias-de-desinfeccion/9541-snake-ransomware#a3