El equipo de investigación de amenazas de SonicWall Capture Labs ha encontrado un nuevo ransomware conocido como Instabot.
El ransomware es un tipo de ataque a través de software malicioso que infecta el computador del usuario y muestra mensajes que exigen el pago de un rescate para que el sistema vuelva a funcionar. El objetivo de los ciberdelincuentes es recibir dinero y, en este caso, según las evidencias de SonicWall, lo que están solicitando es el pago de bitcoin.
La amenaza se está extendiendo activamente y el servidor web utilizado por los operadores está actualmente en línea.
Los operadores cobran US$980 en Bitcoin para la recuperación de archivos, pero también ofrecen un descuento del 50%, si el pago se realiza dentro de las 72 horas.
Es de recordar, que según el informe anual de ciberamenazas de SonicWall, los ataques de ransomware dirigidos paralizan a las víctimas. Si bien el volumen total de ransomware (187,9 millones) disminuyó un 9% durante el año, los ataques altamente selectivos dejaron paralizados a muchos gobiernos estatales, provinciales y locales, eliminando los servicios de comunicaciones por correo electrónico, webs, líneas de teléfono e incluso oficinas enteras.
Ciclo de infección:
El malware usa el siguiente icono:
Realiza la siguiente solicitud de DNS:
akbz.top
Instabot informa la infección a un servidor remoto. Esto incluye la clave pública:
Se realizan solicitudes a un servidor remoto para descargar malware adicional. No todas las solicitudes fueron exitosas:
Los siguientes archivos se agregan al sistema de archivos:
Los archivos cifrados reciben una extensión .sqpc.
_readme.txt contiene el mensaje de rescate que se muestra a continuación. Exige $ 490 USD para la recuperación de archivos después de un descuento del 50%:
El equipo de investigación de amenazas de SonicWall Capture Labs se comunicó con los operadores por correo electrónico, y recibió unas instrucciones, que son las mismas que reciben los usuarios víctimas para continuar amenzándolos.
En el mensaje de correo electrónico, se proporciona un enlace a un video que muestra cómo usar la herramienta de descifrado.
La siguiente es una captura de pantalla del video:
SonicWall Capture Labs brinda protección contra esta amenaza a través de las siguientes firmas:
GAV: Instabot.RSM_7 (troyano)
GAV: Instabot.RSM_8 (troyano)
Esta amenaza también es detectada por SonicWALL Capture ATP con RTDMI y las soluciones de end point como Capture Client.
Las empresas pueden detectar en tiempo real el ransomware con servicios avanzados de seguridad de múltiples capas, incluida seguridad de terminales, servicios de firewall de última generación, seguridad de correo electrónico y acceso remoto seguro. Con la plataforma de SonicWall las empresas pueden detener las variantes de ransomware nuevas, conocidas y actualizadas y regresar los terminales a su estado inicial a través de la opción de rollout.
Vale la pena recordar, que SonicWall recientemente anunció el nuevo enfoque de Boundless Cybersecurity que ayuda a resolver la brecha de seguridad cibernética. La plataforma ofrece una protección perfecta que detiene los ataques cibernéticos más evasivos en puntos de exposición infinitos y fuerzas de trabajo cada vez más remotas, móviles y habilitadas para la nube.
Recomendaciones para evitar ser víctimas de este ransomware:
• Haga copias de seguridad
• No de clic a links que llegan correos y de dudosa procedencia
• No ingrese a páginas web que no estén certificadas.
• Siempre digite la URL de las páginas a las cuales va a ingresar
• Mantenga todos los parches de seguridad actualizados
• Tenga la última versión de su sistema operativo
• Cuente con la solución de protección de multicapa avanzada de SonicWall
• Monitoree continuamente el sistema de comportamiento malicioso.
• Asegure sus terminales sin importar dónde estén.
• Actualice computadoras de Windows infectadas con ransomware para que regresen al estado inicial.