Los actores de amenazas han revivido una familia de ransomware antigua y relativamente inactiva conocida como TellYouThePass, desplegándola en ataques contra dispositivos Windows y Linux dirigidos a un error crítico de ejecución remota de código en la biblioteca Apache Log4j.
La forma común de invasión utilizada por el grupo es a través de archivos adjuntos de correo electrónico, generalmente como archivos de Microsoft Word. Una vez que se descarga el archivo, se instala el ransomware y comienzan los preparativos para el cifrado. Todos los programas que podrían evitar el cifrado se desactivan y luego se inicia el cifrado. Luego, después de hacer que los archivos sean inaccesibles a través del cifrado, se agrega la extensión '.locked' a los archivos. TellYouThePass apunta a archivos grandes como: medios, imágenes, bases de datos, PDF, documentos de Word y otros.
Cabe destacar que esta no es la primera vez que el ransomware Tellyouthepass utiliza vulnerabilidades de alto riesgo para lanzar ataques, ya que el año pasado, había utilizado las vulnerabilidades de Eternal Blue para atacar múltiples unidades organizativas.
TellYouThePass no es la primera variedad de ransomware implementada en los ataques de Log4Shell desde que los atacantes motivados financieramente comenzaron a inyectar mineros de Monero en sistemas comprometidos y los piratas informáticos respaldados por el estado comenzaron a explotarlo para crear puntos de apoyo para el seguimiento de la actividad.
Recuerda que si fuiste atacado por n ransomware no hay garantía de que te regresen tus datos despues de pagar, por eso es importante tener copias de seguridad. Todas las autoridades gubernamentales desaconsejan por completo el pago del rescate ya que esto solo les brinda financiamiento a estos criminales.
