Se ha identificado una nueva variante del ransomware Phobos,vdistribuida a través del ejecutable malicioso core_visual.exe.
Esta amenaza muestra capacidades avanzadas de cifrado, persistencia, evasión de defensas y eliminación de copias de seguridad, lo que la convierte en un riesgo crítico para todas la organizaciones, especialmente las Colombianas, tanto corporativas como personales. Cifra archivos y añade la extensión .core, elimina copias de seguridad mediante comandos del sistema y modifica el registro de Windows para garantizar su persistencia.
Detalles técnicos:
- Indicadores de Compromiso (IOCs):
- Nombre del archivo malicioso: core_visual.exe
- Hash MD5: F3F1C4B0746B99A513876F5C61E2AD47
- Hash SHA-256:
- 4D5368EA6488CEDCE01F8B2C1ED77E45D37DC2AD F1ED0BADA3932412BC0732F0
- Extensión de archivos cifrados: .core
- Ejemplo de archivo cifrado: documento.txt.core
- Técnicas de Infección y Propagación:
- Uso de PowerShell y cmd.exe para la ejecución de comandos maliciosos.
- Eliminación de copias de seguridad mediante vssadmin delete shadows /all /quiet.
- Persistencia mediante modificaciones en el registro de Windows (Run y Explorer).
- Alteración de asociaciones de archivos .exe para redirigir su ejecución al ransomware.
- Cifrado y Comportamiento Malicioso:
- Cifrado de archivos locales y en recursos de red, utilizando algoritmos robustos (probable AES o RSA).
- Eliminación de logs de eventos para dificultar el análisis forense.
- Técnicas de ofuscación en secciones del binario (.ndata con entropía de 7.972).
¿Cómo protegerse?
🔹 No abra archivos o enlaces sospechosos.
🔹 Mantenga copias de seguridad actualizadas.
🔹 Use software de seguridad confiable y actualizado.
🔹 Monitoree las alertas de seguridad de entidades oficiales.
Si su sistema ha sido afectado, no pague el rescate y contacte a expertos en ciberseguridad para evaluar posibles soluciones.
Para mitigar el riesgo de ser víctima de esta campaña de ransomware, se recomienda a las entidades/organizaciones implementar las siguientes medidas de seguridad:
- Contención Inmediata:
- Desconectar los sistemas afectados de la red para prevenir la propagación.
- Bloquear IPs/dominios sospechosos detectados en el tráfico de red.
- Gestión Segura de Credenciales, revocar inmediatamente las credenciales comprometidas, especialmente aquellas con privilegios de administrador. Implementar la autenticación multifactor (MFA) para cuentas críticas.
- No reiniciar sistemas comprometidos hasta finalizar el análisis forense.
- Recuperación:
- Verificar la disponibilidad de copias de seguridad externas.
- Intentar la recuperación de archivos con herramientas forenses antes de considerar el pago del rescate.
- Reinstalación y Reconfiguración. Para garantizar la eliminación completa del malware, se recomienda reinstalar sistemas desde cero y restaurar únicamente datos validados como seguros. Evitar la reutilización de configuraciones antiguas sin una auditoría previa.
- Limpieza del Sistema:
- Análisis de Memoria y Volcado de Procesos: Utilizar herramientas avanzadas de análisis de memoria (como Volatility o Rekall) para identificar cargas maliciosas persistentes en PowerShell, scripts ofuscados y procesos inusuales en ejecución.
- Eliminación de Persistencia: Revisar y restaurar claves de registro afectadas, especialmente en las rutas: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Además, verificar tareas programadas y servicios de Windows para eliminar configuraciones de persistencia maliciosa.
- Análisis de Integridad: Implementar herramientas de verificación de integridad de archivos críticos del sistema (como OSSEC o Tripwire) para identificar modificaciones no autorizadas.
📢 ¡Manténgase alerta y proteja su información!
Para más información y asesoría en ciberseguridad, visite Fox Code.
