Los investigadores de seguridad de la Unidad 42 de Palo Alto Networks han identificado un nuevo ransomware llamado Thanos, que ha intentado sin éxito bloquear los registros de arranque maestro de Windows (MBR) de las víctimas. En junio de 2020, este ransomware afectó a muchas organizaciones de Austria, Suiza y Alemania; en julio de este año, afectó a los dispositivos de las entidades gubernamentales de Oriente Medio y el Norte de África.
El propio ransomware es bastante peligroso, ya que codifica los archivos y solicita a las víctimas que paguen un rescate para recuperar sus datos; sin embargo, en este caso, podemos ver que Thanos está bloqueando el MBR de Windows y amenazando con codificar todo el disco duro. Un investigador de la Unidad 42 mencionó que los usuarios deben hacer esfuerzos adicionales para recuperar sus datos que han sido bloqueados por Thanos, incluso después de que los hackers decodifiquen sus archivos. Sin embargo, debido a la presencia de algunos caracteres inválidos en la nota de rescate, el intento de Thanos de codificar el MBR no ha tenido éxito.
hanos no es el primero de su tipo; el ransomware Petya en 2016 mostró comportamientos de codificación similares. Aunque la codificación de Thanos no ha tenido éxito, los atacantes han mostrado la nota de rescate y han pedido 20 000 dólares de rescate. Es posible que los atacantes hayan accedido a los datos del dispositivo durante bastante tiempo, ya que los investigadores pudieron identificar credenciales válidas dentro de las muestras recuperadas después del ataque. Los atacantes habían usado PowerShell, Shellcode, código C# y scripts para implementar la carga útil en el dispositivo de destino y habían equipado PsExec y SharpExec para difundir Thanos entre otros dispositivos de Windows.
Thanos está disponible en los foros rusos como una herramienta de ransomware como servicio con atributos básicos de construcción. Los atacantes pueden descargar la versión básica, personalizarla y convertirla en un arma para sus propias necesidades.
Este ransomware viene con una nueva tecnología llamada RIPlace, una técnica de evasión anti-ransomware que permite al malware evadir los análisis de protección de los endpoints. Thanos también tiene algunas funciones avanzadas que facilitan la difusión entre otros dispositivos en una red.
Se aconseja a los usuarios que mantengan sus sistemas actualizados, validen los correos electrónicos entrantes y no abran archivos adjuntos a menos que el correo electrónico sea de un remitente verificado. Las empresas que ya han equipado una solución antivirus deben consultar a su proveedor de antivirus para obtener la última actualización de la definición para detectar Thanos en su red.
La técnica de evasión RIPlace es nueva, y sólo unos pocos proveedores de antivirus han actualizado sus herramientas para corregir esta brecha. Con las herramientas de detección de malware adecuadas, las organizaciones pueden mantener a Thanos lejos de su red.
