{"id":26955,"date":"2022-03-02T14:03:06","date_gmt":"2022-03-02T12:03:06","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26955"},"modified":"2022-03-02T14:03:06","modified_gmt":"2022-03-02T12:03:06","slug":"hermeticransom-hermeticwiper-attacks-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/hermeticransom-hermeticwiper-attacks-2022\/26955\/","title":{"rendered":"El ransomware como m\u00e9todo de distracci\u00f3n"},"content":{"rendered":"

Nuestros investigadores han analizado el malware<\/em> HermeticRansom tambi\u00e9n conocido como Elections GoRansom. En general, se trata de un simple cifrador, pero lo interesante de este caso es el prop\u00f3sito por el que lo utilizan los atacantes.<\/p>\n

Los objetivos de HermeticRansom<\/h2>\n

HermeticRansom atacaba ordenadores al mismo tiempo que otro malware<\/em> conocido como HermeticWiper y, seg\u00fan la informaci\u00f3n aportada por la comunidad de la seguridad, se ha usado en ciberataques recientes en Ucrania. De acuerdo con nuestros expertos, la relativa simplicidad y la cuestionable implementaci\u00f3n del flujo de trabajo del malware<\/em> sugieren que HermeticRansom se ha utilizado como cortina de humo para los ataques de HermeticWiper.<\/p>\n

De qu\u00e9 es capaz HermeticRansom<\/h2>\n

Una vez que infecta el ordenador de la v\u00edctima, el malware<\/em> primero identifica los discos duros y recopila una lista de directorios y archivos ubicados en todas partes excepto en las carpetas de Windows y Archivos de programa. Luego cifra ciertas categor\u00edas de archivos y les cambia el nombre agregando una etiqueta cifrada y la direcci\u00f3n de correo electr\u00f3nico de los operadores del ransomware<\/em>. Este malware<\/em> tambi\u00e9n crea un archivo read_me.html en la carpeta del escritorio que contiene una nota de rescate con la informaci\u00f3n de contacto de los atacantes. La nota es as\u00ed:<\/p>\n

\"\"

Nota de rescate del malware HermeticRansom<\/p><\/div>\n

HermeticRansom cifra los archivos con las siguientes extensiones: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi and odt.<\/p>\n

Las peculiaridades de HermeticRansom<\/h2>\n

HermeticRansom est\u00e1 escrito en Golang. No utiliza ning\u00fan mecanismo de ocultaci\u00f3n y el m\u00e9todo de cifrado en s\u00ed mismo es bastante engorroso e ineficiente. A juzgar por estas y otras caracter\u00edsticas, nuestros expertos creen que este malware<\/em> se cre\u00f3 de la noche a la ma\u00f1ana.<\/p>\n

Para un an\u00e1lisis t\u00e9cnico m\u00e1s detallado del malware<\/em> junto con sus indicadores de compromiso, visita este art\u00edculo de nuestro blog Securelist<\/a>.<\/p>\n

C\u00f3mo mantenerse a salvo<\/h2>\n

Las soluciones de seguridad de Kaspersky detectan con \u00e9xito el malware<\/em> HermeticRansom y otras amenazas similares. Contamos con una variedad de herramientas para proteger tanto ordenadores personales como una infraestructura corporativa; entre ellas destacan:<\/p>\n