Es cierto que tenemos más herramientas y técnicas para protegernos. Los sistemas están más preparados para detectar amenazas como el ransomware. El problema es que los ciberdelincuentes también han perfeccionado sus técnicas. Mejoran la manera en la que propagan la amenaza y sobre todo en cómo evitan ser detectados.

Thanos es uno más de los muchos ransomware que por desgracia hay en la red y que comprometen la seguridad y privacidad de los usuarios. Sin embargo cuenta con una novedad importante, y es que es el primero en utilizar la técnica RIPlace, algo que le permite eludir la seguridad y hacer que sea más difícil evitarlo. Esta amenaza afecta a los usuarios de Windows.

Hay que mencionar que Thanos es un ransomware RaaS, o como servicio, donde tiene afiliados que se reparten las ganancias. Esto hace que haya más actores que puedan infectar equipos con esta amenaza.

Ahora bien, lo que realmente hace que Thanos sea diferente es el hecho de utilizar la técnica RIPlace. ¿En qué consiste esta técnica? Es una manera de evadir la detección del ransomware por parte del sistema. Es una técnica que fue descubierta por la empresa de seguridad informática Nyotron hace unos meses.

Desde Nyotron descubrieron que cuando el ransomware cambia el nombre de un archivo a un enlace simbólico creado usando la función DefineDosDevice (), el software anti-ransomware no detectaría con precisión la operación. Eso es lo que hace Thanos, que se convierte así en el primer ransomware que se tenga constancia de que usa esta técnica.

Al activar esta técnica, sus funciones de monitoreo recibirían un error, mientras que el cambio de nombre seguiría funcionando y, por lo tanto, omitiría el programa anti-ransomware.