El ransomware JSWorm se reinventa en tan solo dos años

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp
Share on telegram
Share on email

El ransomware selectivo sigue acechando a las empresas de todo el mundo.

Y, Kaspersky ha seguido investigando las operaciones de varios de estos grupos para entender mejor su manera de actuar y a desarrollar una protección más avanzada contra las amenazas que plantean. Los investigadores de Kaspersky desmontaron e inspeccionaron un curioso espécimen (o, más bien, especímenes) perteneciente al grupo JSWorm, que demostró gran agilidad a la hora de actualizar sus herramientas. El grupo, que hasta ahora se había centrado en operaciones a gran escala, se adaptó rápidamente y evolucionó hacia operaciones altamente selectivas en sólo dos años, desarrollando más de ocho «marcas» de malware distintas.

Cada variante del malware tenía diferentes aspectos del código, extensiones de archivo renombradas, esquemas criptográficos y claves de cifrado alteradas. Junto con los cambios de nombre, los desarrolladores de este ransomware también han estado reelaborando su código y probando diferentes enfoques de distribución, lo que demuestra que tienen una gran capacidad de adaptación y disponen de amplios recursos.

JSWorm se ha detectado ya en todo el mundo, desde América (Brasil, Argentina, Estados Unidos) hasta Oriente Medio y África (Sudáfrica, Turquía, Irán), Europa (Italia, Francia, Alemania) y APAC (Vietnam). De hecho, más de un tercio (39%) de todas las empresas y personas a las que se dirigió este grupo en 2020 eran de la zona Asia Pacífico. 

En lo que respecta a los sectores objetivo, está claro que esta familia de ransomware se enfoca a las infraestructuras críticas y a los principales sectores de todo el mundo. Casi la mitad (41%) de los ataques de JSWorm se dirigieron a empresas del sector de la ingeniería y la fabricación. La energía y los servicios públicos (10%), las finanzas (10%), los servicios profesionales y de consumo (10%), el transporte (7%) y la sanidad (7%) también encabezaban su lista.

«Las operaciones de JSWorm, y su capacidad para adaptarse y desarrollar nuevo malware con tanta rapidez, reflejan una tendencia importante y preocupante: los grupos de ransomware tienen recursos más que suficientes a su disposición para cambiar sus operaciones y actualizar sus herramientas a una velocidad inquietante, llegando cada vez a más organizaciones en todo el mundo. Esta gran capacidad de adaptación es habitual en los grupos de APT, pero los de ransomware no se limitan a objetivos específicos, sino que van a por cualquier empresa que puedan infectar. Esto demuestra que, para proteger una organización, los equipos de ciberseguridad deben ser aún más rápidos, atentos y adaptables a la hora de instalar medidas de seguridad», comenta Fedor Sinitsyn, investigador de seguridad de Kaspersky.

Lea el informe completo sobre las diferentes versiones de JSWorm en Securelist. Obtenga más información sobre el ecosistema del ransomware en el informe El mundo del ransomware en 2021: quiénes, cómo y por qué.

Para permanecer protegido frente a JSWorm y otros tipos de ransomware, Kaspersky recomienda:

  • No exponer los servicios de escritorio remoto (como RDP) a las redes públicas a menos que sea absolutamente necesario y utilizar siempre contraseñas fuertes para ellos.
  • Asegurarse de que las soluciones VPN comerciales y otro software del lado del servidor están siempre actualizados, ya que la explotación de este tipo de software es un vector de infección común para el ransomware. Mantener siempre actualizadas también las aplicaciones en el cliente.
  • Centrar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos a Internet. Prestar especial atención al tráfico saliente para detectar conexiones de ciberdelincuentes. Hacer copias de seguridad de los datos regularmente. Asegúrese de poder acceder rápidamente a ellos en caso de emergencia cuando sea necesario. Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de las tácticas, técnicas y procedimientos utilizadas por los actores de las amenazas actualmente.
  • Utilizar soluciones como Kaspersky Endpoint Detection and Response y el servicio Kaspersky Managed Detection and Response que colaboran a identificar y detener un ataque en las primeras etapas, antes de que los atacantes logren sus objetivos finales.
  • Proteger el entorno corporativo y formar a los empleados. Los cursos de formación dedicados pueden ayudar, como los proporcionados en Kaspersky Automated Security Awareness Platform.
  • Utilizar una solución de seguridad de confianza para los endpoints, como Kaspersky Endpoint Security for Business, que cuenta con prevención de exploits, detección basada en el comportamiento y un motor de corrección capaz de revertir las acciones maliciosas. KESB también cuenta con mecanismos de autodefensa que pueden evitar su eliminación por parte de los ciberdelincuentes. 
Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp
Share on telegram
Share on email

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba