La compañía británica de seguridad cibernética Sophos advirtió recientemente de un nuevo tipo de ransomware, el cual se hace pasar por una herramienta gratuita para descifrar archivos secuestrados por el ransomware DJVU y es capaz de cifrar doblemente los archivos. Así lo reportó la compañía el pasado 8 de junio en su sitio web.
Según explica Sophos, este nuevo software malicioso se disfraza de instrumento de seguridad anti-ransomware y encripta nuevamente los archivos previamente cifrados por el ransomware que la víctima desea eliminar, en este caso, el DJVU.
Esta compañía creadora de productos de software y hardware de seguridad realizó un análisis a la aplicación gratuita Double-crossing ransomware Decryptor, que asegura ser un anti-ransomware, y descubrió que se realmente se trataba de otra amenaza cibernética.
Así opera el falso desencriptador
Como se mencionó anteriormente, el ransomware DJVU, que debe su nombre a su extensión .djvu, es el que este falso desencriptador afirmaba eliminar. Según explicó Sophos, para darle apariencia de legitimidad, este falso desencriptador solicita a la víctima del ransomware DJVU que ingrese su identificación personal y una extensión de archivo, pero tal información es ignorada por el software, de manera que los investigadores de Sophos afirman que esta ventana de diálogo sólo se usa «como un iniciador para el encriptador -en-el-descifrador falso».
Sophos reportó que el falso desencriptador extrae una copia de otro programa, llamado crab.exe, que está incrustado en él como un recurso de datos, y crea una copia de éste en la carpeta TEMP (donde se almacenan los archivos temporales del dispositivo), lo activa y posteriormente lo elimina del sistema.
Desde Sophos explicaron que, al ser un ransomware no reconstruido, el crab.exe chequea los archivos con la finalidad de conseguir aquellos que posean coincidencias con una lista de extensiones de archivos para cifrar; luego de esto, codifica los archivos que consigue con una clave criptográfica elegida aleatoriamente. Cabe destacar que esa lista incluye al ransomware DJVU que el falso desencriptador afirma eliminar.
Por lo tanto, de acuerdo con Sophos, ejecutar este supuesto descifrador traerá como consecuencia que los archivos que no se hayan visto afectado aún por el malware DJVU serán encriptados y tendrán la extensión .ZRB, que es usada por este malware; y aquellos que ya estén cifrados, resultarán encriptados por partida doble, reflejando la extensión de la forma .djvu.ZRB.
El mensaje de los ciberatacantes
Luego del proceso de cifrado, el malware establece como un fondo negro como fondo de pantalla de Windows, en el cual añade al escritorio un archivo nombrado –DECRYPT – ZORAB.txt con los pasos a seguir para el rescate de los archivados encriptados, dicho mensaje se muestra a continuación:
En el mensaje, los ciberatacantes no muestran un monto a pagar por el rescate de los archivos, tampoco un sitio web o una dirección de un moneredo de criptoactivos para transferir fondos; lo único que aparece es una aparente identificación personal y una dirección de correo electrónico ProtonMail pseudo-anónima, supuestamente para contactar a los autores del crimen cibernético y comprarles la herramienta para desencriptar los archivos.
Un malware versátil
Sophos reportó que los piratas informáticos detrás de este ransomware pueden transformar este software muy fácilmente en otras falsas herramientas, que podrían difundir también como desencriptadores de otras amenazas similares, cámbiandole sólo algunas cadenas de texto y compilándolo nuevamente, modificándole el título en la ventana y la extensión.
En este caso en específico, Sophos infiere que esta primera versión va dirigida a los perjudicados por el ransomware DJVU, ya que versiones iniciales de ese software malicioso se podían desencriptar con herramientas gratuitas:
«Suponemos que DJVU fue atacado esta vez porque las primeras versiones de ese malware podrían descifrarse de forma gratuita, pero parece que los delincuentes de DJVU hicieron algunas «mejoras» recientes para que sea más difícil de descifrar sin pagar». Sophos.
Adicionalmente, los investigadores de Sophos indicaron que en las pruebas detectaron otro codificador de archivos, de extensión crab.exe, el cual «no parecía muy bien programado», debido a que en sus pruebas no fue capaz de encriptar archivos «por razones que podrían evitarse fácilmente», así como también cifró el mensaje de rescate poco después de haberlo creado, sentenciaron.
Algunas recomendaciones
Esta compañía de ciberseguridad desconoce la cantidad de personas que han sido perjudicadas por este falso desencriptador, pero es importante tener en cuenta que el ransomware no ataca solamente a grandes empresas y redes corporativas, sino que también los particulares puede verse afectada desde su casa, por lo que Sophos brindó algunas recomendaciones para tomar en cuenta, con las cuales se puede disminuir el riesgo de ser víctima de este tipo de amenazas.
Entre las recomendaciones dadas por Sophos, mencionaron no bajar la guardia al momento de buscar alguna herramienta gratuita para desencriptar archivos secuestrados por ransomware, así como también: no abrir archivos adjuntos inesperados, no hacer clic en enalces web inesperados; y no descargar software que no solicitó «solo porque alguien que no conoce se lo dijo».
Otras de las recomendaciones dadas por Sophos son: realizar las debidas actualizaciones de seguridad y obtener sus parches; buscar un antivirus «que incluya un filtro en tiempo real para detener el comportamiento malicioso antes de que cause algún daño, además de un filtro web incorporado para mantenerlo alejado de sitios pirateados o dañinos»; realizar copias de seguridad de forma periódica, para tener la posibilidad de recuperación de archivos dañados o perdidos; y «si está atrapado, pregúntele a alguien que conoce y en quien confía en lugar de buscar más y más en línea por su cuenta».
Ransomware a la orden del día
El pasado 25 de mayo la agencia de ciberseguridad del gobierno de Italia, AGID-CERT emitió un informe haciendo una advertencia acerca de un ransomware que se hace pasar por Immuni, una herramienta para el seguimiento y localización de COVID-19 en el país europeo.
Este ramsonware, que lleva por nombre ‘‘FuckUnicorn’’, toma el control de los dispositivos móviles y ordenadores para luego mostrar a la víctima, a través de un mensaje de texto, las instrucciones que debe seguir para el rescate, el cual fue fijado en 300 euros en bitcoins (BTC).
A finales de mayo, Sophos publicó una advertencia relacionada con un nuevo ransomware, llamado Ragnar Locker, el cual se oculta en los dispositivos que ataca a través una máquina virtual completa que instala. Este ransomware está dirigido a atacar redes empresariales y a exigir 1.580 BTC como rescate.
Recientemente, grandes organizaciones como la compañía San Antonio Aerospace, el gigante de telecomunicaciones en África, Telkom, y Digital Management Inc. (DMI), una contratista de IT de la NASA, han sido blancos de ataques de diferentes grupos operadores de ransomware. Específicamente se trató de las variantes de ransomware: Maze, Sodinokibi y DopplePaymer, respectivamente.
Imagen destacada por Gerd Altmann/ pixabay.com