Rhysida es el nuevo grupo de ransomware pone en alerta a organizaciones y gobiernos a escala mundial.
Hay un nuevo grupo de ransomware que se está dando a conocer por su capacidad de infiltrarse en organizaciones gubernamentales y militares de Latinoamérica. Rhysida, como lo denominaron, utiliza varios subprocesos para comprometer archivos y directorios, empleando una combinación de algoritmos RSA y AES para el cifrado de datos. Una vez ejecutado en el sistema, las extensiones de los archivos afectados se habrán cambiado a .rhysida.
Posteriormente, un archivo llamado CriticalBreachDetected.pdf se abrirá en el sistema, alertando del ataque.
El pasado 17 de mayo fue que se dio a conocer este nuevo grupo de ransomware cuando atacó a instituciones chilenas. Desde esa fecha hasta la actualidad, Kaspersky ha registrado ataques en otros países, siendo el más afectado Brasil, con más de 30 detecciones. Los otros países afectados son China, Israel y Estados Unidos.
Aunque el vector de acceso inicial utilizado por Rhysida aún no se ha identificado, Kaspersky señala que “es bastante probable” que sea a través de ataques de fuerza bruta a VPNs o protocolos de acceso remotos (RDPs), con el objetivo de obtener credenciales de empleados y funcionarios. Los ataques de fuerza bruta intentan descifrar una contraseña o nombre de usuario, aplicando el método de prueba y error hasta dar con la combinación correcta.
“En los últimos años hemos visto cómo el ransomware se ha convertido en un gran problema al que cualquiera se podría enfrentar y que se sigue proliferando en América Latina y el resto del mundo. Aunque los chantajistas se han centrado cada vez más en las organizaciones públicas y en las empresas, nadie está a salvo”, señala Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
Este malware busca en un disco duro información valiosa de su víctima (como documentos, gráficos, imágenes y bases de datos) y cifra todo lo que encuentra bloqueando los archivos. Al realizarse la infección, el ransomware muestra un mensaje en el que solicita un pago a cambio de restaurar los datos.
Estos grupos que desarrollan el ransomware lo venden a ciberdelincuentes enfocados en hacer los ataques. La ganancias es compartida entre el desarrollador (20% – promedio) y el atacante (80% – promedio), señalan desde la empresa de ciberseguridad.
Fuente: Forbes Chile
