BitLocker es una herramienta de seguridad de Microsoft incluida en el
sistema operativo de Windows. Su función principal es proteger los datos
almacenados en el disco duro del ordenador, impidiendo que personas no
autorizadas tengan acceso a esa información. Al cifrar los archivos, el
delincuente transforma los datos almacenados en un código secreto que hace
imposible que el usuario víctima acceda a ellos.
¿Cómo se produce el ataque?
Los ciberdelincuentes utilizan VBScript, un lenguaje de programación
utilizado para automatizar tareas en ordenadores Windows, para crear un script
malicioso. La novedad de estos ataques es que comprueban la versión actual
instalada del sistema y activan las funcionalidades de BitLocker en
consecuencia. De este modo, se cree que el código puede infectar tanto sistemas
nuevos como antiguos, incluidas las versiones desde Windows Server 2008.
Si la versión del sistema es apta para el ataque, el script altera su
configuración para bloquear el acceso del usuario víctima. Los estafadores
también eliminan las medidas de protección que soportan a BitLocker, con lo que
se aseguran de que la persona no pueda recuperar los archivos.
El paso final del ataque lleva al apagado forzado del sistema, dejando
el siguiente mensaje en la pantalla: “No hay más opciones de recuperación de
BitLocker en su ordenador”.
El mensaje que se muestra al usuario tras un cierre forzado del sistema
“Lo que es especialmente preocupante en este caso es el hecho de que
BitLocker, diseñado originalmente para mitigar los riesgos de robo o exposición
de datos, haya sido reutilizado por delincuentes con fines maliciosos. Es una
cruel ironía que una medida de seguridad se haya convertido en una amenaza de
esta manera. Para las empresas que utilicen la herramienta, es crucial
garantizar contraseñas fuertes y un almacenamiento seguro de las claves de
recuperación. También son esenciales las copias de seguridad periódicas,
mantenidas offline y comprobadas”, explica Cristian Souza, especialista en
Respuesta a Incidentes del Equipo Global de Respuesta a Emergencias (GERT) de
Kaspersky.
Los expertos de Kaspersky recomiendan las siguientes medidas
● Utilizar un software de seguridad robusto que esté correctamente
configurado para detectar amenazas que intenten utilizar BitLocker. Implemente
una solución que pueda buscar amenazas de forma proactiva.
● Limitar los privilegios de los usuarios a la red e impedir la
activación no autorizada de funciones de cifrado o la modificación de claves de
registro.
● Habilitar el registro y la supervisión del tráfico de red, ya que los
sistemas infectados pueden transmitir contraseñas o claves a dominios de
estafadores.
● Supervisar los eventos de ejecución de VBScript y PowerShell,
almacenando los scripts y comandos registrados en un repositorio externo para
retener la actividad sospechosa. El análisis técnico detallado de estos
incidentes está disponible en Securelist. Para más información sobre seguridad,
visite el blog de Kaspersky.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital
fundada en 1997. Con más de mil millones dispositivos protegidos hasta la fecha
contra ciberamenazas emergentes y ataques dirigidos, la profunda experiencia en
inteligencia de amenazas y seguridad de Kaspersky se está continuamente
transformando en innovadoras soluciones y servicios de seguridad para proteger
a empresas, infraestructuras críticas, gobiernos y consumidores en todo el
mundo. El extenso portafolio de productos de seguridad de la empresa incluye su
reputada solución de protección para endpoints, junto con una serie de
soluciones y servicios de seguridad especializados, así como soluciones Cyber Inmune
para combatir las sofisticadas y cambiantes amenazas digitales.
No hay comentarios:
Publicar un comentario