Los actores de amenazas constantemente innovan con nuevas técnicas para pillar a sus objetivos desprevenidos y aprovechar el efecto sorpresa. Afortunadamente, también hay divulgadores que se dedican a identificar y comunicar estas amenazas para advertir a las potenciales víctimas.
Investigadores de seguridad han alertado de un nuevo método de ataque de ransomware por el que los piratas informáticos se sirven de archivos de imágenes JPEG con el fin de distribuir ransomware totalmente indetectable (FUD).
La técnica consigue eludir los sistemas de antivirus tradicionales, lo que la hace aún más peligrosa.
Los hackers incrustan código malicioso en imágenes JPG estándar aparentemente inofensivos, activando un cargador oculto que despliega un ataque de varias etapas, según detalla GB Hackers.
En la primera la imagen contiene una carga útil disfrazada que inicia un script de preparación. En la segunda el stager se comunica con un servidor remoto para descargar el ejecutable del ransomware. Por último, en la etapa final, el ransomware cifra los archivos de la víctima, exigiendo el pago de una cantidad para descifrarlos.
Los actores de amenazas suelen dividir la carga útil entre la imagen y en cuestión y otro documento señuelo, como puede ser un Word o PDF. Este se envía junto con el JPG.
Dicho enfoque dual, con dos archivos, ayuda a evadir la detección, puesto que las herramientas de seguridad no son capaces de correlacionar estos archivos emparejados como maliciosos.
"Este ataque abusa de la confianza que los usuarios depositan en los archivos cotidianos. Las organizaciones deben adoptar herramientas de análisis de comportamiento, ya que las defensas basadas en firmas están obsoletas contra estas amenazas", ha comentado Jane Harper, analista de Sentinel One, respecto a esta nueva técnica.
Cómo protegerse
Por su parte, la división cibernética del FBI ha emitido un boletín en el que insta a las organizaciones a capacitar al personal para evitar archivos adjuntos no solicitados (incluso aunque provengan de contactos conocidos), implementar herramientas de detección de puntos finales para que monitoricen interacciones de archivos sospechosos y segmentar redes para limitar la propagación de ransomware.
Para protegerse es aconsejable que las empresas habiliten extensiones de archivo para que estos muestren nombres completos, usen protección avanzada contra amenazas, aíslen archivos adjuntos de correo electrónico y realicen copias de seguridad de datos críticos (sin conexión o en la nube con control de versiones para recuperar archivos cifrados).