{"id":16418,"date":"2018-07-06T14:44:41","date_gmt":"2018-07-06T12:44:41","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=16418"},"modified":"2019-11-22T11:03:22","modified_gmt":"2019-11-22T09:03:22","slug":"rakhni-miner-cryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/rakhni-miner-cryptor\/16418\/","title":{"rendered":"El troyano Rakhni ahora cifra y mina"},"content":{"rendered":"

Ya hemos hablado<\/a> de que el ransomware<\/i> ha sido relevado por los mineros<\/a> del primer puesto de las amenazas online<\/i>. En consonancia con esta tendencia, el troyano ransomware<\/i> Rakhni, que hemos estado observando desde 2013, ha a\u00f1adido un m\u00f3dulo para minar criptomonedas en su arsenal. Lo realmente interesante es que el archivo infeccioso del malware<\/i> es capaz de elegir qu\u00e9 componente instalar seg\u00fan el dispositivo. Nuestros investigadores han descubierto c\u00f3mo funciona el malware<\/i> actualizado y d\u00f3nde reside el peligro.<\/p>\n

Nuestros productos detectaron a Rakhni en Rusia, Kazajist\u00e1n, Ucrania, Alemania e India. El malware<\/i> se distribuy\u00f3 principalmente mediante correos no deseados con archivos adjuntos maliciosos. La muestra que analizaron nuestros expertos, por ejemplo, fing\u00eda ser un documento financiero, lo que sugiere que los creadores est\u00e1n interesados principalmente en \u201cclientes\u201d corporativos.<\/p>\n

Un adjunto DOCX en un correo electr\u00f3nico no deseado contiene un documento PDF. Si el usuario permite la edici\u00f3n e intenta abrir el PDF, el sistema solicita permiso para ejecutar un archivo ejecutable desde un editor desconocido. Con la aprobaci\u00f3n del usuario, Rakhni entra en acci\u00f3n.<\/p>\n

\"\"<\/p>\n

Como un ladr\u00f3n en la noche<\/h2>\n

Al principio, el archivo PDF malicioso parece un visor de documentos. Primero, el malware<\/i> muestra a la v\u00edctima un mensaje de error en el que explica por qu\u00e9 no se ha abierto nada. Luego, desactiva Windows Defender e instala certificados digitales<\/a> falsos. Hasta que la costa no est\u00e1 despejada, no decide qu\u00e9 hacer con el dispositivo infectado; cifrar archivos y pedir un rescate o instalar un minero.<\/p>\n

Por \u00faltimo, el programa malicioso intenta difundirse a otros ordenadores conectados a red local. Si los empleados de la empresa tienen acceso compartido a la carpeta Usuarios en sus dispositivos, el malware<\/i> tambi\u00e9n podr\u00e1 acceder a ellos.<\/p>\n

\u00bfMinar o cifrar?<\/h3>\n

Los criterios de selecci\u00f3n son simples: si el malware<\/i> encuentra una carpeta de servicios llamada Bitcoin en el ordenador de la v\u00edctima, ejecuta un malware<\/i> que cifra archivos (incluidos documentos Office, PDF, im\u00e1genes y copias de seguridad) y solicita un rescate que deber\u00e1n pagar en menos de 3 d\u00edas. Los ciberdelincuentes prometen enviar por correo electr\u00f3nico informaci\u00f3n del rescate, incluida la cantidad.<\/p>\n

Si no hay ninguna carpeta relacionada con Bitcoin en el dispositivo y el malware<\/i> cree que tiene la suficiente potencia como para soportar un minero de criptomonedas, descarga un minero que genera tokens<\/i> de Monero, Monero Original o Dashcoin a escondidas.<\/p>\n

No caigas en la trampa<\/h3>\n

Si no quieres acabar infectado con Rakhni y sufrir da\u00f1os en tu compa\u00f1\u00eda, ten mucha precauci\u00f3n con los mensajes entrantes, sobre todo con aquellos que recibas de direcciones de correo electr\u00f3nico desconocidas. Si dudas si abrir o no un adjunto, no lo hagas. Tambi\u00e9n presta atenci\u00f3n a las advertencias del sistema operativo: no ejecutes aplicaciones de editores desconocidos, especialmente si el nombre es similar al de otros programas populares.<\/p>\n

Lleva a cabo estas medidas en la lucha contra los mineros y cifradores en tu red corporativa y ah\u00f3rrate el riesgo:<\/p>\n