Nueva variante de ransomware ‘ElPaco’ desactiva medidas de seguridad y destruye respaldos, alerta Kaspersky
Escrito por Jose de Jesus Prieto on 02/12/2024
La amenaza deriva del ransomware Mimic y utiliza herramientas avanzadas para cifrar archivos
y obstaculizar los esfuerzos de recuperación.
Diciembre de 2024
El Equipo de Respuesta a Emergencias Globales de Kaspersky (GERT) detectó una
nueva variante del ransomware Mimic con herramientas de personalización avanzadas y
capacidades para desactivar mecanismos de seguridad. Se trata de “ElPaco”, capaz de
detener las operaciones del dispositivo, eliminar datos de respaldo y bloquear el acceso
a las acciones de recuperación, dejando una nota de extorsión para pedir el pago de
rescate.
Tras su ejecución, “ElPaco” implementa una serie de herramientas maliciosas y utilidades
legítimas, lo que le permite desactivar las defensas del sistema, cifrar una amplia gama de tipos
de archivos y realizar acciones para garantizar la persistencia. También cifra archivos críticos
en unidades locales y de red, dejando una nota de rescate para la víctima y apunta a un
conjunto específico de extensiones de archivos, mientras excluye otras para evitar dañar
archivos esenciales del sistema.
“ElPaco” es una amenaza importante tanto para individuos como para empresas, capaz de
evadir la detección y obstaculizar los esfuerzos de recuperación. El GERT de Kaspersky ha
detectado actores de amenazas que utilizan esta variante de Mimic en Estados Unidos, Rusia,
Países Bajos, Alemania y Francia, sin embargo, su presencia va más allá con casos
identificados también en Canadá, Rumania, Corea del sur y Reino Unido, entre otros países.
Esta variante Mimic, es un programa muy avanzado que ataca sistemas de Windows. Utiliza
una combinación de herramientas maliciosas y programas legítimos para tomar control del
equipo afectado. Comienza con un archivo que se extrae por sí mismo, que contiene varias
herramientas, incluyendo una utilidad de búsqueda de archivos que parece inofensiva, pero
que en realidad ayuda al malware a encontrar archivos importantes de forma más rápida.
Luego, desactiva las protecciones de seguridad del sistema, como Windows Defender, y
comienza a cifrar los archivos importantes, tanto en el equipo como en las redes a las que esté
conectado.
"El ransomware ELPACO asegura su operación continua mediante mecanismos persistentes,
modificaciones en el registro y tácticas contra el apagado. Su enfoque específico de cifrar datos
esenciales del usuario, dejando intactos archivos críticos del sistema, garantiza que el
dispositivo de la víctima siga siendo funcional, facilitando el pago del rescate. Para
contrarrestar amenazas tan sofisticadas, las organizaciones deben implementar defensas
sólidas que incluyan detección en endpoints, monitoreo avanzado de comportamiento y copias
de seguridad regulares para mitigar el impacto de estos ataques", comenta Ashley Muñoz,
Especialista en Respuesta a Incidentes del Equipo de Respuesta a Emergencias
Globales de Kaspersky (GERT).
Para que las empresas puedan protegerse de este tipo de amenazas, los expertos de
Kaspersky recomiendan:
● Actualizar sistemas operativos, las aplicaciones y el software de seguridad con
parches periódicos para mitigar las vulnerabilidades que frecuentemente explotan las
amenazas cibernéticas.
● Capacitar a sus empleados para que sean capaces de identificar las tácticas de
ingeniería social que buscan engañarlos para que sean ellos quienes ejecuten archivos
maliciosos que permiten el acceso a la red de las empresas.
● Implementar copias de seguridad periódicas de datos y sistemas críticos para
minimizar el impacto de los ataques de ransomware o la pérdida de datos resultante de
infecciones de malware.
● Implementar soluciones de seguridad para endpoints equipadas con capacidades
avanzadas de detección y prevención de amenazas para identificar y detener
eficazmente actividades maliciosas como Kaspersky Next EDR Foundations que
mantiene a su empresa a salvo del ransomware y de otros tipos de malware.
● Acceder constantemente a información de Inteligencia de Amenazas necesaria para
obtener información crítica que le permita protegerse de las ciberamenazas, identificar y
prevenir los riesgos en forma proactiva y mejorar la respuesta a incidentes. Kaspersky
Threat Intelligence brinda acceso a toda esta información recopilada por nuestro equipo
líder de investigadores y analistas.
Para conocer más detalles sobre el análisis de “Elpaco” visite Securelist.lat
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones
dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda experiencia
en inteligencia de amenazas y seguridad de Kaspersky se está continuamente transformando en innovadoras
soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores
en todo el mundo. El extenso portafolio de productos de seguridad de la empresa incluye su reputada solución de
protección para endpoints, junto con una serie de soluciones y servicios de seguridad especializados, así como
soluciones Cyber Immune para combatir las sofisticadas y cambiantes amenazas digitales. Ayudamos a más de
200,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en
https://latam.kaspersky.com