Microsoft ha arrojado luz sobre cuatro familias de ransomware diferentes: KeRanger<\/a>FileCoder, MacRansom y EvilQuest, que se sabe que afectan a los sistemas macOS de Apple.<\/p>\n “Si bien estas familias de malware son antiguas, ejemplifican el rango de capacidades y el comportamiento malicioso posible en la plataforma”, dijo el equipo de inteligencia de amenazas de seguridad del gigante tecnol\u00f3gico. dicho<\/a> en un informe del jueves.<\/p>\n El vector inicial para estas familias de ransomware implica lo que el fabricante de Windows llama “m\u00e9todos asistidos por el usuario”, en los que la v\u00edctima descarga e instala aplicaciones troyanizadas.<\/p>\n Alternativamente, tambi\u00e9n puede llegar como una carga \u00fatil de segunda etapa que se elimina por un malware ya existente en el host infectado o como parte de un ataque a la cadena de suministro.<\/p>\n Independientemente del modus operandi empleado, los ataques proceden de manera similar, con los actores de amenazas confiando en las caracter\u00edsticas leg\u00edtimas del sistema operativo y explotando las vulnerabilidades para ingresar a los sistemas y cifrar los archivos de inter\u00e9s.<\/p>\n Esto incluye el uso de la utilidad de b\u00fasqueda de Unix, as\u00ed como funciones de biblioteca como opendir, readdir y closedir para enumerar archivos. Otro m\u00e9todo se\u00f1alado por Microsoft, pero no adoptado por las cepas de ransomware, implica el NSFileManager<\/a> Interfaz de Objective-C.<\/p>\n Tambi\u00e9n se ha observado que KeRanger, MacRansom y EvilQuest utilizan una combinaci\u00f3n de comprobaciones basadas en hardware y software para determinar si el malware se est\u00e1 ejecutando en un entorno virtual en un intento de resistir los intentos de an\u00e1lisis y depuraci\u00f3n.<\/p>\n KeRanger, en particular, emplea una t\u00e9cnica conocida como ejecuci\u00f3n retrasada para escapar de la detecci\u00f3n. Lo logra durmiendo durante tres d\u00edas despu\u00e9s de su lanzamiento antes de poner en marcha sus funciones maliciosas.<\/p>\n La persistencia, que es esencial para garantizar que el malware se ejecute incluso despu\u00e9s de reiniciar el sistema, se establece mediante agentes de lanzamiento<\/a> y colas del kernel<\/a>se\u00f1al\u00f3 Microsoft.<\/p>\n Mientras que FileCoder usa la utilidad ZIP para cifrar archivos, KeRanger usa cifrado AES<\/a> en el encadenamiento de bloques de cifrado (CBC<\/a>) modo de lograr sus objetivos. Tanto MacRansom como EvilQuest, por otro lado, aprovechan un cifrado sim\u00e9trico<\/a> algoritmo.<\/p>\n EvilQuest, que se expuso por primera vez en julio de 2020, va m\u00e1s all\u00e1 del t\u00edpico ransomware para incorporar otras funciones similares a las de los troyanos, como el registro de teclas, el compromiso de los archivos Mach-O mediante la inyecci\u00f3n de c\u00f3digo arbitrario y la desactivaci\u00f3n del software de seguridad.<\/p>\n Tambi\u00e9n incluye capacidades para ejecutar cualquier archivo directamente desde la memoria, sin dejar rastro de la carga \u00fatil en el disco.<\/p>\n \u201cEl ransomware contin\u00faa siendo una de las amenazas m\u00e1s frecuentes e impactantes que afectan a las organizaciones, con atacantes que evolucionan constantemente sus t\u00e9cnicas y expanden su oficio para lanzar una red m\u00e1s amplia de objetivos potenciales\u201d, dijo Microsoft.<\/p>\n <\/p>\n![\"Familias](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjf_u5QSzOqQFI1Np5QS14lDRsuzmVPxS6zqkAesGs8QiLBKwU_Hovf340oWigUBB3HmhZqBE40ILW_nQ2VjiH0uLnvXa_pz9-ZgVKy_bGvNf5h5FP7Hpq0Jp93X49j0JPR3zN3XX1CT64QmCxzOnYwzPCaR7N065V0079y42cn9OqTG96uGi_9bB0d\/s728-rj-e3650\/key.png\" "\\"Familias")
<\/div>\n