Cómo ha cambiado el ransomware “JSWorm” en solo 2 años


Si bien el ransomware dirigido continúa atacando empresas de todo el mundo, no podemos evitar analizar más a fondo las operaciones de ciertas bandas de ransomware. Esto nos ayuda a comprenderlos mejor y desarrollar una protección más avanzada contra las amenazas que representan. Los investigadores de Kaspersky han analizado en detalle un ejemplar interesante (o, más precisamente, ejemplares) perteneciente al grupo JSWorm, que ha demostrado su destreza a la hora de actualizar sus herramientas. El grupo, que anteriormente se había centrado en operaciones masivas, pudo adaptarse rápidamente y evolucionar hacia una operación altamente específica en solo dos años, y desarrolló más de ocho “marcas” diferentes de malware.

Cada variante “renombrada” tenía diferentes aspectos del código, extensiones de archivo renombradas, esquemas criptográficos y claves de cifrado modificadas. Además de los cambios de nombre, los desarrolladores de este ransomware también han reelaborado su código y han probado diferentes enfoques de distribución, lo que demuestra que son extremadamente personalizables y tienen enormes recursos a su disposición.

El grupo JSWorm se ha descubierto en todo el mundo, desde América del Norte y del Sur (Brasil, Argentina, EE. UU.) Hasta Oriente Medio y África (Sudáfrica, Turquía, Irán), Europa (Italia, Francia, Alemania) y la región de Asia-Pacífico ( Vietnam), con más de un tercio (39%) de las empresas y personas objetivo de este grupo en 2020 ubicadas en la región de Asia y el Pacífico.

Cuando se trata de industrias específicas, está claro que esta familia de ransomware se dirige a la infraestructura clave y a los principales sectores de todo el mundo. Casi la mitad (41%) de los ataques de JSWorm Group se dirigieron contra empresas de las industrias de ingeniería y fabricación. La energía y los servicios públicos (10%), las finanzas (10%), los servicios profesionales y de consumo (10%), el transporte (7%) y la salud (7%) también encabezaron su lista.

“Las operaciones de JSWorm Group, así como su capacidad para adaptarse y desarrollar nuevo malware con tanta rapidez, están mostrando una tendencia importante y preocupante: las bandas de ransomware también tienen recursos más que suficientes a su disposición para cambios inquietantemente rápidos en sus operaciones y herramientas de actualización de la organización. en todo el mundo. Esta gran capacidad de adaptación suele observarse en el caso de los grupos de APT, pero las bandas de ransomware no se limitan a determinados objetivos, sino que atacan con gusto a cualquier empresa que puedan infectar. Esto demuestra que, para proteger su organización, los equipos de seguridad cibernética Necesito ser aún más rápido, buenomás animado y más flexible en cuanto a medidas de seguridad “, comenta Fedor Sinitsyn, investigador de seguridad de Kaspersky.

Lea el informe completo sobre las diferentes versiones del grupo JSWorm en Securelist.

Para protegerse del grupo JSWorm y otros tipos de ransomware, Kaspersky sugiere:

  • No exponga los servicios de acceso remoto (como RDP) a redes públicas a menos que sea absolutamente necesario y utilice siempre contraseñas seguras para ellos.
  • Tenga en cuenta que las soluciones VPN comerciales y otro software del lado del servidor siempre están actualizados, ya que la explotación de este tipo de software es un vector común de infección para el ransomware. Además, actualice siempre las aplicaciones del lado del cliente.
  • Enfoque su estrategia de defensa en detectar movimientos laterales e infiltrar datos en Internet. Preste especial atención al tráfico saliente para detectar conexiones de ciberdelincuentes. Realiza copias de seguridad de sus datos con regularidad. Brindar acceso rápido en emergencias. Utilice la información más reciente sobre amenazas para conocer las tácticas, técnicas y procedimientos que utilizan los actores de las amenazas.
  • Utilice soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response para poder identificar y detener un ataque en una etapa temprana, antes de que los atacantes alcancen sus objetivos finales.
  • Proteja el entorno empresarial y eduque a sus empleados. La capacitación dedicada puede ser útil, como la que puede encontrar en la Plataforma de conocimiento de seguridad automatizada de Kaspersky.
  • Utilice una solución de protección de endpoints confiable, como Kaspersky Endpoint Security for Business, que permite la prevención de la explotación, la detección de comportamientos y la corrección, lo que puede revertir la actividad maliciosa. KESB también tiene mecanismos de autodefensa que pueden evitar su eliminación por parte de los ciberdelincuentes.


Source: Personal magazin by feedproxy.google.com.

*The article has been translated based on the content of Personal magazin by feedproxy.google.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!