6 jun. 2014

#Crytowall: #ransomware distribuído a través de RIG Exploit Kit

En el último tiempo ha aumentado exponencialmente de cantidad de muestras de malware tipo Ransomware, incluyendo casos como Cryptolocker, Icepole, PrisonLocker, CryptoDefense y sus variantes. Ahora, ha aparecido CrytoWall, una variante más reciente de Cryptolocker y orientado a que los usuarios descarguen el software malicioso a través de publicidad en dominios de alto nivel como Disney, Facebook, The Guardian y otros.

Cryptolocker esá diseñado por el mismo desarrollador de CryptoDefense, apareció a finales de marzo y cifra los archivos del usuario a través de RSA de 2048 bits. En ese caso, el autor de malware había dejado las claves de descifrado ocultos en el sistema del usuario y esto permitía recuperar los archivos cifrados.

Con las nuevas versiones de Cryptowall y CryptoDefense, los archivos y documentos "secuestrados" son imposibles de descifrar. Ahora la historia ha emperado porque los investigadores de Cisco revelaron que los ciberdelincuentes han comenzado ha distribuir CrytoWall a través de RIG Exploit Kits (EK), un conjunto de herramientas especialmente creadas para infectar usuarios de distintas versiones vulnerables de Flash, Internet Explorer, Java o Silverlight.

Los investigadores han notado altos niveles de tráfico consistente con el nuevo kit y propagado a través de sitios commo "apps.facebook.com", "awkwardfamilyphotos.com", "theguardian.co.uk" y "go.com" y muchos otros. Si el usuario hace clic en los anuncios de estos sitios, es redireccionado a sitios de malvertising y, a través del RIG explotando vulnerabilidades es infectado con el malware CryptoWall.

Cuando CryptoWall se instala en el sistema infectado se inicia la exploración y cifrado (secuestro) de todos los archivos. Después de cifrarlos se crean los archivos que contienen instrucciones de "rescate" en cada carpeta, exigiendo hasta 500 USD. El servicio donde se instruye a los usuarios a pagar el monto de rescate es un servicio oculto que utiliza el servidor de Comando y Control y alojado en dominio TOR .onion.

La mayor parte de las infecciones, un 42 por ciento, están en los Estados Unidos, seguido por Inglaterra y Australia, pero seguramente esto se multiplicará rápidamente en todo el mundo, debido a las funcionalidades utilizadas para la infección.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!