
El software de rescate de Thanos es el primero en utilizar una técnica de evasión de rescate RIPlace, revelada por los investigadores, así como otras numerosas características avanzadas que lo convierten en una seria amenaza que hay que vigilar.
Thanos comenzó su distribución privada a finales de octubre de 2019, pero no fue hasta enero de 2020 cuando las víctimas buscaron ayuda para lo que entonces se llamaba Quimera Ransomware.
En un nuevo informe de Recorded Future, se reveló que este rescate se llama Thanos y está siendo promovido como un Ransomware-as-a-Service en los foros de cibercriminales, de habla rusa desde febrero.
Impulsado por un actor de amenazas llamado Nosophorus, Thanos está reclutando a piratas informáticos y distribuidores de malware para distribuir el rescate. Para ello, recibirán una parte de los ingresos, que suele ser de alrededor del 60-70%, de cualquier pago de rescate.
Los afiliados que se unen al Thanos RaaS obtienen acceso a un “Constructor Privado de Rescate” que se utiliza para generar ejecutables de rescate personalizados.
Mientras que la mayoría de los programas de rescate escritos en C# no tienen un alto nivel de sofisticación, Thanos tiene numerosas características avanzadas que lo hacen sobresalir del resto.
El constructor permite una amplia gama de características, incluyendo un robador de archivos no encriptado incorporado, la propagación automatizada a otros dispositivos, y la adopción de la técnica de evasión RIPlace revelada por el investigador.
En noviembre de 2019, BleepingComputer informó sobre una nueva técnica de evasión de software de rescate llamada RIPlace que fue revelada por los investigadores de seguridad de la empresa de protección de puntos finales Nyotron.
Thanos es el primer programa de rescate que adopta la técnica RIPlace. Y cuando Nyotron reveló responsablemente esta técnica a las empresas de seguridad, la mayoría respondió que, como era una técnica teórica y no se utilizaba en la naturaleza, no se abordaría.
Con información de: Bleeping Computer.