Paradise Ransomware usa archivos IQY en Microsoft Excel para evitar la detección

La mayoría de los atacantes de ransomware siguen un camino similar para afectar a la víctima y los investigadores los descifran inmediatamente. Por lo tanto, idean nuevas tácticas para evitar la detección y tener éxito en su operación. Uno de estos grupos es el Paradise ransomware, quien reencarnó con una nueva técnica usando Archivos IQY para escapar hábilmente y encriptar la red.

Ransomware paraíso
Ransomware paraíso

Un nuevo método para evitar la detección

Paradise ransomware ha estado activo desde 2017, pero como un grupo de ransomware regular. Los atacantes detrás de él ahora están probando nuevos métodos para marcarse a sí mismos como únicos. Y esto se esta aprovechando IQY o Archivos de consulta de Internet. Estos son archivos de texto utilizados por Microsoft Excel para obtener datos de Internet. Contiene URL y otros parámetros para realizar consultas en Internet.

Archivo IQY malicioso

Dado que Excel utiliza legítimamente estos archivos, ningún software antivirus ni detectores especiales los marcarán como maliciosos. Y como las empresas intercambian hojas de cálculo de Excel dentro y fuera con frecuencia, existe una alta probabilidad de propagar estos IQY maliciosos.

Paradise ransomware, como cualquier otro atacante de ransomware, realiza campañas de phishing contra empresas destinadas a obtener acceso a la red. Envían correos electrónicos maliciosos con estos archivos IQY para que los empleados hagan clic. Y cuando eso sucedió, el archivo IQY contacta y se conecta al servidor C2C del atacante, que a su vez envía un script de Powershell. Esto finalmente ejecuta el ransomware dentro del sistema encriptando todos los datos.

Solo perdiendo aún, podría ser peor en el futuro

Después de que toda la red está encriptada, deja una nota de rescate donde menciona instrucciones para ser contactado. Inteligencia de amenazas de última línea, el equipo que introdujo esta operación se puso en contacto con el atacante de ransomware a través de una opción de soporte por chat para obtener más información. Pero el autor aún no ha respondido. Esto indica que los atacantes están más interesados ​​en conocer la tasa de éxito de la campaña que solo en la redención. Esto podría especularse para ataques más graves en el futuro.

Boleto de canje

El uso de archivos IQY en su operación describe que el ransomware de Paradise también se dirige a empresas en lugar de individuos, ya que las primeras acumulan sumas fijas en lugar de bocadillos posteriores. La mejor forma de protegerse contra estos ataques es mantener actualizada una copia de seguridad fuera de línea. De lo contrario, sospeche proactivamente de los enlaces o archivos adjuntos que vienen con correos electrónicos maliciosos en primer lugar. Esto ayudaría a evitar estas molestias.

Fuente: Última línea