El ransomware Clop recientemente descubierto intenta eliminar Malwarebytes y otras herramientas de seguridad nativas de las máquinas con Windows que infecta.
Según Bleeping Computer , el investigador de seguridad e ingeniero inverso Vitali Kremez descubrió que el ransomware Clop ejecutó un pequeño programa antes de iniciar su rutina de cifrado en una máquina Windows infectada. El propósito del programa era deshabilitar numerosas herramientas de seguridad que se ejecutan en la computadora para que pueda cifrar efectivamente los datos de una víctima.
Por ejemplo, la amenaza intentó deshabilitar Windows Defender configurando los valores del Registro para deshabilitar la supervisión del comportamiento, la protección en tiempo real y otros procesos de seguridad. Sin embargo, esta configuración volvería a la normalidad si las víctimas tuvieran protección contra manipulaciones en Windows 10.
Clop, una variante de la familia de ransomware CryptoMix, también intentó desactivar el producto Anti-Rasomware independiente de Malwarebytes, que ahora está retirado, utilizando un comando que buscaba evitar que la herramienta se reiniciara.
No es la primera amenaza para apuntar a Windows Defender
Clop no es la primera familia de malware que apunta a Windows Defender. En julio de 2019 , Bleeping Computer informó sobre una nueva variante del troyano bancario TrickBot que intentó deshabilitar los servicios y procesos de seguridad asociados con Windows Defender.
Eso fue solo unos meses antes de que el sitio de autoayuda de la computadora cubriera GootKit, un troyano bancario que usaba el bypass UAC y los comandos WMIC para evitar que Windows Defender analice específicamente el ejecutable del malware. Y en octubre de 2019 , Bleeping Computer compartió los hallazgos de Kremez sobre Novter, malware que usó PowerShell para deshabilitar Windows Defender y modificar la configuración de Windows Update.
Cómo defenderse contra Clop Ransomware
Los profesionales de seguridad pueden ayudar a sus organizaciones a defenderse contra el ransomware Clop invirtiendo en un programa de capacitación de concientización de seguridad que tenga en cuenta las diferentes necesidades y requisitos de seguridad de cada grupo de usuarios. Hacerlo permitirá a la organización fortalecer sus defensas digitales contra las campañas de phishing y otros vectores comunes de entrega de ransomware. Los equipos de seguridad deberían aprovechar este programa de capacitación como parte de una estrategia de defensa en capas para el ransomware, un esfuerzo concertado que también debe incluir el antispam, una estrategia de respaldo y otras medidas de seguridad.
Fecha actualización el 2021-11-26. Fecha publicación el 2019-11-26. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: securityintelligence Version movil