Categories: Cloud

KillDisk, un malware contra financieras latinas

El equipo de investigación de Trend Micro ha descubierto una nueva variante de KillDisk, un malware que tiene la capacidad de borrar por completo el disco duro de la máquina afectada y que, inicialmente, se dirige a organizaciones financieras latinoamericanas. Trend Micro lo detecta como TROJ_KILLDISK.IUB. 

Según un comunicado de prensa, “el análisis inicial (y que todavía está en curso) revela que puede ser un componente de otra carga útil, o parte de un ataque más grande. La compañía todavía está analizando esta nueva variante de KillDisk y mantendrá la información actualizada a medida que descubra más detalles sobre esta amenaza”.

KillDisk, junto con BlackEnergy, el malware polivalente relacionado con el ciberespionaje, se utilizó en los ciberataques de finales de diciembre de 2015 contra el sector energético de Ucrania y su industria bancaria, ferroviaria y minera, como explican los expertos de trend Micro. Desde entonces, el malware se ha metamorfoseado transformándose en una amenaza utilizada para la extorsión digital, que afecta a plataformas Windows y Linux.

¿Cómo llega al sistema? Parece que esta variante de KillDisk es lanzada intencionalmente por otro proceso o atacante. Su ruta de archivo está codificada (hard-coded) en el malware (c:\windows\dimens.exe), lo que significa que está estrechamente relacionada con su instalador o es parte de un paquete más grande.

KillDisk también tiene una función de autodestrucción, aunque en realidad no se elimina, sino que se cambia el nombre de su archivo renombrándose como c:\windows\0123456789 mientras se ejecuta. Esta cadena está codificada o hardcoded en la muestra analizada por Trend Micro. Espera que su ruta de archivo sea c:\windows\dimens.exe (también hardcoded). En consecuencia, si se realiza un análisis forense del disco y se busca dimens.exe, el archivo que se recuperará será el archivo recién creado con contenido de 0x00 bytes.

¿Qué pueden hacer las organizaciones? Las capacidades destructivas de KillDisk, y puesto que podría ser solo una parte de un ataque más grande, ponen de relieve la importancia de la defensa en profundidad: asegurar los perímetros, desde gateways a endpoints, redes y servidores, para reducir aún más la superficie de ataque. Trend Micro recomienda mantener el sistema y sus aplicaciones actualizados/parcheados para evitar que los atacantes aprovechen las lagunas de seguridad;  tener en cuenta el parcheo virtual para sistemas heredados y hacer copias de seguridad de los datos con regularidad y asegurarse de su integridad, entre otros asuntos. La firma ofrece una herramienta al mercado para aplacar los efectos de este malware.

Bárbara Bécares

Informando desde América Latina. Ya he estado reportando desde Colombia, Brasil, Argentina, Perú, Ecuador y Chile. Ahora y durante un tiempo, descubriendo las novedades de México. Soy periodista, apasionada de los viajes y de conocer culturas. Colaboro en www.channelbiz.es y www.siliconweek.com.

Recent Posts

Pure Storage y Kioxia colaboran para impulsar la escalabilidad, la eficiencia y el rendimiento en los centros de datos de hiperescala

Este acuerdo permite una escala rápida al tiempo que reduce el consumo de energía y…

2 días ago

MEXDC y el Senado de la República dialogan sobre la relevancia de los Data Centers

Las líneas de diálogo entre gobierno, industria y academia se centraron en Inversión Tecnológica en…

2 días ago

Xerox propone sistemas de automatización que optimicen las operaciones de las empresas

Por Rafael Hirata, Jefe de Innovación y Desarrollo de Negocios Digitales, responsable de Servicios de…

2 días ago

Appian, elegida líder en Everest Group’s Process Orchestration Products PEAK Matrix 2024

Según Everest Group: “Appian tiene como objetivo ofrecer automatización y orquestación integral de procesos a…

3 días ago

Las nuevas tecnologías y su impacto en el crecimiento empresarial para 2025

Por Uriel Fraire, Regional Sales Manager Mexico de Universal Robots.

3 días ago