El panorama de la seguridad informática se ha visto afectado por la aparición del ransomware VanHelsing, una variante sofisticada que ha sido identificada por el equipo de investigación y asesoramiento de CYFIRMA.
Este ransomware ataca los sistemas Windows, utiliza técnicas de cifrado avanzadas y agrega una extensión única «.vanhelsing» a los archivos infectados. También emplea tácticas de doble extorsión, amenazando con filtrar los datos robados a menos que se pague un rescate, lo que lo convierte en una amenaza importante para las industrias de todo el mundo.
El ransomware VanHelsing modifica el fondo de pantalla del escritorio y coloca una nota de rescate titulada «README.txt» después de cifrar los archivos.
La nota informa a las víctimas que su red ha sido comprometida y que se han filtrado datos confidenciales como datos personales e informes financieros.
Las víctimas reciben instrucciones de pagar un rescate no especificado en Bitcoin para restaurar el acceso, con advertencias contra intentos de autorrecuperación que podrían hacer que los archivos sean permanentemente inaccesibles.
El ransomware utiliza la red Tor para comunicarse, lo que aumenta su naturaleza sigilosa.
El ransomware VanHelsing explota el marco del Instrumental de administración de Windows (WMI) para ejecutar comandos y recopilar información del sistema, una táctica que le permite evadir la detección haciéndose pasar por una actividad legítima del sistema. Emplea mecanismos de persistencia, como tareas programadas y modificaciones del registro, para mantener el control sobre los sistemas comprometidos.
Según el Informe, estas tácticas de evasión dificultan la detección y eliminación, lo que destaca la necesidad de medidas sólidas de ciberseguridad.
Se ha observado que VanHelsing apunta a sectores como el gobierno, la manufactura y el sector farmacéutico en Estados Unidos y Francia.
Sus tácticas en evolución sugieren una posible expansión a industrias críticas como las finanzas y la atención médica, lo que representa una amenaza global.
El uso de tácticas de doble extorsión aumenta su riesgo, haciendo más vulnerables a sectores esenciales en todo el mundo.
Recomendaciones para mitigación
Para protegerse contra el ransomware VanHelsing, las organizaciones deben implementar protocolos de seguridad competentes, incluido el cifrado y la autenticación multifactor.
Las copias de seguridad periódicas de los sistemas críticos son cruciales para una rápida recuperación de datos en caso de un ataque.
También son esenciales desarrollar un plan de prevención de violaciones de datos y fomentar una cultura de ciberseguridad a través de la capacitación de los empleados.
Además, mantener el software y los sistemas operativos actualizados con los últimos parches de seguridad puede ayudar a prevenir la explotación de vulnerabilidades conocidas.
Monitorear el tráfico de la red y bloquear los indicadores de compromiso (IOC) son medidas tácticas que pueden fortalecer las defensas contra tales amenazas.
