Uso de Runspace en PowerShell para lanzar a REVIL ransomware
- Publicado: 25/01/2021
- Importancia: Alta
- Recursos afectados
-
Runspace cuenta con funciones y comandos que se ejecutan desde una estancia de PowerShell. En este caso es utilizada para crear nuevos subprocesos que pueden ser modificados y ejecutados a conveniencia, evadiendo los sistemas antimalware.
En el procedimiento de infección, se utiliza PowerShell para crear y ejecutar los Runspace que descifran y cargan la amenaza cibernética sobre el proceso. La carga útil inyectada en el proceso de PowerShell alterado fue de REvil Ransomware, también conocido como Sodinokibi, capaz de cifrar y exfiltrar los archivos del equipo comprometido, para luego exigir un rescate de la información. Este ransomware ha afectado a gran cantidad de organizaciones alrededor del mundo incluyendo varias entidades financieras como el Banco Estado en Chile.
Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].
- Etiquetas