RIPlace – Nueva técnica ransomware para encriptación de archivos en Windows

ccastrol noviembre 28, 2019 2 min read

Investigadores de seguridad de la empresa Nyotron descubrieron una nueva técnica que aprovecha las operaciones de cambio de nombre del sistema de archivos de Microsoft Windows para no ser detectado por los productos de seguridad. Los atacantes pueden usar este método RIPlace para alterar cualquier archivo en las computadoras con S.O Windows.

RIPlace una nueva técnica de evasión que permite a los atacantes encriptar archivos en computadoras con S.O. Windows sin ser detectados por productos anti-ransomware.

Cada vez que se llama a una solicitud de cambio de nombre (específicamente, IRP_MJ_SET_INFORMATION con FileInformationClass establecido en FileRenameInformation), el driver lter recibe una devolución de llamada, para que pueda filtrar la solicitud.

El descubrimiento de RIPlace es que en la función de devolución de llamada el driver lter no puede analizar la ruta de destino cuando se usa la rutina común FltGetDestinationFileNameInformation.

Devuelve un error al pasar una ruta de DosDevice (en lugar de devolver la ruta, postprocesada); sin embargo, la llamada Rename se realiza correctamente.

Con esta técnica, es posible cifrar maliciosamente los archivos y omitir los productos antivirus/antiransomware que no manejan adecuadamente la devolución de llamada IRP_MJ_SET_INFORMATION.

Puntos objetivos de la amenaza

Todos los usuarios que usen sistemas operativos Windows.

Nuestras recomendaciones

De momento no hay alguna actualización de seguridad, por lo cual se recomienda estar alertas a próximas actualizaciones de Windows para proceder con su pronto despliegue.
A todos los usuarios se les recomienda evitar la instalación o ejecución de programas de dudosa procedencia, generalmente los no licenciados.
Mantener los servicios de antivirus actualizados ya que en cualquier momento los hash aun no registrados a nivel de muestras por los fabricantes serán incluidos en las últimas firmas.