Contar con un antivirus, podemos decir que es una de las mejores medidas para mantener la seguridad en los dispositivos. Pero, ¿qué pasa si es el propio antivirus el que puede permitir la entrada de un malware? Te vamos a contar cómo esta peligrosa amenaza puede usar tu programa de seguridad para atacarte. Te vamos a explicar qué debes tener en cuenta y cómo protegerte de este peligroso problema.
Concretamente, se trata del ransomware Kasseika. Es una amenaza capaz de aprovecharse de los drivers del antivirus y llegar a eliminarlo. De esta forma, puede tener vía libre para actuar sin ser detectado. Este tipo de amenazas, además, es de las más peligrosas, ya que cifra los archivos y pide un rescate para liberarlos.
Es una amenaza más, un tipo de ransomware que, como otros muchos, busca que pierdas el control sobre tus archivos. Sin embargo, en esta ocasión utiliza una técnica distinta a la habitual: aprovecharse del controlador del antivirus. Exactamente, se aprovecha del driver Martini.sys/viragt64.sys, que forma parte del antivirus VirtIT Agent, de TG Soft.
Una vez explota este driver, consigue desactivar el programa de seguridad. Simplemente deja de funcionar, por lo que no va a detectar la amenaza. Según indican los investigadores de seguridad detrás de este descubrimiento, el ransomware Kasseika tiene muchas similitudes con el de BlackMatter, por lo que puede que sean los mismos los que lo han desarrollado.
Pero, ¿cómo infectan exactamente con esta amenaza? Lo primero que hacen es enviar un e-mail Phishing. Un clásico. Necesitan hacerse con las credenciales de acceso. A partir de ahí, van a explotar la herramienta PsExec, de Windows, para poder ejecutar archivos .bat maliciosos. Ahí es cuando comprueba si existe el proceso Martini.exe y lo va a cerrar. Si no lo encuentra, no continúa.
Lo que busca con esto es finalizar el proceso del antivirus. A partir de ahí, inicia el ransomware y utiliza los algoritmos ChaCha20 y RSA para cifrar los archivos. Como es habitual, piden un rescate para liberar esos archivos cifrados. En este caso, solicitan un pago en bitcoins bastante elevado.
¿Qué puedes hacer para protegerte? Sin duda, lo mejor es el sentido común. Como has podido ver, van a iniciar todo a través de un e-mail que, en realidad, es un ataque Phishing. Nunca compartas datos a través del correo electrónico, redes sociales o SMS que puedan llegarte y no sabes realmente quién está detrás. Jamás inicies sesión a través de enlaces que recibas. Siempre puedes saber si un SMS es un fraude o un correo es Phishing.
Además, conviene tener el sistema perfectamente actualizado. En muchos casos, los ciberdelincuentes van a explotar vulnerabilidades que encuentren. Por ello, tener las últimas versiones va a permitir que estés más protegido, que puedas evitar muchos problemas que pongan en riesgo tu privacidad y seguridad.
Por otra parte, es fundamental también tener un buen antivirus. Aunque en este caso logren explotar los drivers del programa de seguridad, tener un buen software va a ayudarte a detectar muchas amenazas. Revisa siempre cuál tienes instalado y asegúrate de que funciona correctamente.
En definitiva, Kasseika es un peligroso ransomware que puede explotar los drivers de algunos antivirus para evitar que funcionen y tener vía libre. Es clave que protejas bien tus dispositivos y no tengas problemas de este tipo.
Vía > Bleeping Computer
Copyright © 2018 by idescpu ® - Engine by idescpu.co