Ransomware Nnice se ríe reemplazando las extensiones de archivo con ‘.xdddd’

Iniciado por AXCESS, Enero 21, 2025, 03:43:55 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva variante de ransomware ha aparecido en varios foros clandestinos. El equipo de investigación y asesoramiento de CYFIRMA ha informado sobre Nnice Ransomware, que emplea técnicas de cifrado avanzadas y métodos sofisticados de evasión y persistencia.

CYFIRMA advierte que la nueva variante de ransomware, observada por primera vez el 17 de enero, plantea "riesgos significativos para la seguridad de los datos" y destaca "la necesidad urgente de defensas proactivas".

El nuevo ransomware se dirige a los sistemas Windows. El informe no detalla cómo los operadores obtienen acceso inicial a los sistemas. Sin embargo, una vez dentro, el ransomware cifra los archivos añadiendo la extensión ".xdddd" a los nombres de archivo originales.

Según el informe, el malware es capaz de persistir a nivel de arranque mediante la implementación de bootkit junto con la funcionalidad de rootkit, lo que dificulta su detección y eliminación.

La muestra tenía capacidades de ataque integrales, como robo de credenciales y cookies de sesión web, recopilación de correo electrónico y descubrimiento de software de seguridad. Es capaz de evadir entornos sandbox, debilitar defensas, elevar privilegios, suplantar identidad, inyectar procesos, cargar archivos DLL de forma lateral y mucho más.

Una vez que el ransomware termina, deja una nota de rescate titulada "Readme.txt", que contiene instrucciones para la recuperación de archivos, también cambia el fondo de pantalla con una nota que dice que "todos sus archivos importantes han sido cifrados" y se necesita un descifrador especial para descifrarlos.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El actor de amenazas detrás de NNice parece preferir comunicarse por correo electrónico.

CYFIRMA recomienda proteger los entornos locales y en la nube mediante la implementación de protocolos de seguridad competentes y configuraciones de cifrado, autenticación o credenciales de acceso para acceder a los sistemas críticos.

"Asegúrese de mantener copias de seguridad de los sistemas críticos que se puedan utilizar para restaurar los datos en caso de que surja una necesidad", advierte la empresa de seguridad.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta