REvil ransomware ahora cambia la contraseña para el inicio de sesión automático en modo seguro

Mal

Un cambio reciente en el ransomware REvil permite a las amenazas automatizar el cifrado de archivos a través del Modo seguro después de cambiar las contraseñas de Windows.

En marzo, informamos de un nuevo modo de cifrado de Windows Safe Mode agregado al ransomware REvil / Sodinokibi. Este modo se puede habilitar usando el argumento de línea de comando -smode, que reiniciaría el dispositivo en modo seguro, donde cifrará los archivos.

Se cree que este modo se agregó como una forma de eludir la detección por parte del software de seguridad y para apagar el software de respaldo, los servidores de bases de datos o los servidores de correo para lograr un mayor éxito al cifrar archivos.

Sin embargo, en el momento de nuestro informe, el ransomware requería que alguien ingresara manualmente en el Modo seguro de Windows antes de que comenzara el cifrado, lo que podría generar señales de alerta.

Índice de contenidos()

    La nueva versión inicia sesión automáticamente en Windows en modo seguro

    A finales de marzo, un nuevo campeón del ransomware REvil fue descubierto por un investigador de seguridad R3MRUM que refina el nuevo método de cifrado en modo seguro cambiando la contraseña del usuario que inició sesión y configurando Windows para que inicie sesión automáticamente al reiniciar.

    Con este nuevo ejemplo, cuando se usa el argumento -smode, el ransomware cambiará la contraseña del usuario a 'DTrump4ever. "

    Luego, el ransomware configura los siguientes valores de registro para que Windows inicie sesión automáticamente con la información de la nueva cuenta.

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]"AutoAdminLogon" = "1"
    "DefaultUserName" = "[account_name]"
    "DefaultPassword" = "DTrump4ever"

    Aunque no se sabe si las nuevas muestras del criptógrafo de ransomware REvil continúan usando la contraseña "DTrump4ever", al menos dos muestras cargadas a VirusTotal en los últimos dos días continúan haciéndolo.

    Estos cambios ilustran cómo las bandas de ransomware evolucionan continuamente sus tácticas para cifrar con éxito los dispositivos de las víctimas y forzar el pago de rescates.

    REvil también advirtió recientemente que realizará ataques DDoS a víctimas y socios comerciales de víctimas de correo electrónico sobre datos robados si no se paga un rescate.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir