El ransomware REvil, ahora cambia la contraseña para iniciar sesión automáticamente en el modo seguro

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un cambio reciente en el ransomware REvil permite a los actores de la amenaza automatizar el cifrado de archivos a través del Modo Seguro después de cambiar las contraseñas de Windows.

En marzo, se informó sobre un nuevo modo de cifrado en Modo Seguro de Windows añadido al ransomware REvil/Sodinokibi. Este modo puede activarse utilizando el argumento de línea de comandos -smode, que reiniciaría el dispositivo en Modo Seguro, donde realizaría el cifrado de los archivos.

Se cree que este modo se añadió como una forma de evadir la detección por parte del software de seguridad y de apagar el software de copia de seguridad, los servidores de bases de datos o los servidores de correo para tener mayor éxito a la hora de cifrar los archivos.

La nueva versión inicia automáticamente la sesión de Windows en modo seguro
A finales de marzo, el investigador de seguridad R3MRUM descubrió una nueva muestra del ransomware REvil que perfecciona el nuevo método de cifrado en modo seguro cambiando la contraseña del usuario conectado y configurando Windows para que inicie sesión automáticamente al reiniciar.

Con esta nueva muestra, cuando se utiliza el argumento -smode, el ransomware cambiará la contraseña del usuario a ‘DTrump4ever’.

Aunque se desconoce si las nuevas muestras del ransomware encriptador REvil siguen utilizando la contraseña “DTrump4ever”, al menos dos muestras subidas a VirusTotal en los últimos dos días siguen haciéndolo.

Estos cambios ilustran cómo las bandas de ransomware evolucionan continuamente sus tácticas para cifrar con éxito los dispositivos de las víctimas y forzar el pago del rescate.

Con información de: Bleeping Computer.