Empresas chinas estuvieron meses siendo atacadas por el ransomware ONI

El ransomware ha tenido un año de bastante popularidad.

La empresa de seguridad Cybereason analizó algunas computadoras que estaban infectadas con un ransomware llamado ONI en varias empresas chinas; ese malware había sido analizado con anterioridad, aunque no se entendía bien cómo se infectaban las víctimas. Los investigadores descubrieron que las computadoras infectadas también habían sido previamente atacadas por una campaña de spear phishing, que mediante un RAT (Remote Access Trojan) o Troyano de acceso remoto, se hacía con el control de los computadores.

El modo de funcionamiento era similar a otros ataques, aunque con pequeñas variaciones. Los correos electrónicos phishing, emulaban ser recibos y contenían un archivo adjunto con la extensión .zip con un documento en Word dentro de éste. Cuando el usuario abría el documento, también comenzaba una macroinstrucción que a su vez iniciaba un script (VBScript) que descargaba e instalaba una copia de Ammyy Admin RAT. Y este software, de uso legítimo para manejar remotamente ordenadores, era utilizado con fines maliciosos para obtener acceso total al sistema.

Según los informes de Cybereason, el RAT fue instalado desde diciembre del año 2016, infectando a compañías grandes y medianas. Una vez los atacantes tenían acceso a los computadores, continuaban intentando obtener acceso a cuentas de administración y servidores. Durante los más de nueves meses que estuvo activa la operación, el plan era hacerse de los servidores para operar ONI Ransomware. Desde Cybereason han consignado que “es prácticamente seguro afirmar que datos confidenciales se han filtrado durante estos meses”.

Sin embargo, el ransomware no fue operado de manera transversal. El software, en su versión normal y en otra llamada MBR-ONI, que afectaba el MBR de los ordenadores, sólo se implementó en algunos servidores de directorios activos o “activos críticos”. Esto último pone en duda, si la finalidad del ataque era realmente ganar dinero o robar información para luego cubrir sus rastros con el ransomware. De momento, la investigación sigue en curso.

The post Empresas chinas estuvieron meses siendo atacadas por el ransomware ONI appeared first on FayerWayer.