#Crytowall: #ransomware distribuído a través de RIG Exploit Kit
En el último tiempo ha aumentado exponencialmente de cantidad de muestras de malware tipo Ransomware, incluyendo casos como Cryptolocker, Icepole, PrisonLocker, CryptoDefense y sus variantes. Ahora, ha aparecido CrytoWall, una variante más reciente de Cryptolocker y orientado a que los usuarios descarguen el software malicioso a través de publicidad en dominios de alto nivel como Disney, Facebook, The Guardian y otros.
Cryptolocker esá diseñado por el mismo desarrollador de CryptoDefense, apareció a finales de marzo y cifra los archivos del usuario a través de RSA de 2048 bits. En ese caso, el autor de malware había dejado las claves de descifrado ocultos en el sistema del usuario y esto permitía recuperar los archivos cifrados.
Con las nuevas versiones de Cryptowall y CryptoDefense, los archivos y documentos "secuestrados" son imposibles de descifrar. Ahora la historia ha emperado porque los investigadores de Cisco revelaron que los ciberdelincuentes han comenzado ha distribuir CrytoWall a través de RIG Exploit Kits (EK), un conjunto de herramientas especialmente creadas para infectar usuarios de distintas versiones vulnerables de Flash, Internet Explorer, Java o Silverlight.
Los investigadores han notado altos niveles de tráfico consistente con el nuevo kit y propagado a través de sitios commo "apps.facebook.com", "awkwardfamilyphotos.com", "theguardian.co.uk" y "go.com" y muchos otros. Si el usuario hace clic en los anuncios de estos sitios, es redireccionado a sitios de malvertising y, a través del RIG explotando vulnerabilidades es infectado con el malware CryptoWall.
Cuando CryptoWall se instala en el sistema infectado se inicia la exploración y cifrado (secuestro) de todos los archivos. Después de cifrarlos se crean los archivos que contienen instrucciones de "rescate" en cada carpeta, exigiendo hasta 500 USD. El servicio donde se instruye a los usuarios a pagar el monto de rescate es un servicio oculto que utiliza el servidor de Comando y Control y alojado en dominio TOR .onion.
La mayor parte de las infecciones, un 42 por ciento, están en los Estados Unidos, seguido por Inglaterra y Australia, pero seguramente esto se multiplicará rápidamente en todo el mundo, debido a las funcionalidades utilizadas para la infección.
Cristian de la Redacción de Segu-Info
Cryptolocker esá diseñado por el mismo desarrollador de CryptoDefense, apareció a finales de marzo y cifra los archivos del usuario a través de RSA de 2048 bits. En ese caso, el autor de malware había dejado las claves de descifrado ocultos en el sistema del usuario y esto permitía recuperar los archivos cifrados.
Con las nuevas versiones de Cryptowall y CryptoDefense, los archivos y documentos "secuestrados" son imposibles de descifrar. Ahora la historia ha emperado porque los investigadores de Cisco revelaron que los ciberdelincuentes han comenzado ha distribuir CrytoWall a través de RIG Exploit Kits (EK), un conjunto de herramientas especialmente creadas para infectar usuarios de distintas versiones vulnerables de Flash, Internet Explorer, Java o Silverlight.
Los investigadores han notado altos niveles de tráfico consistente con el nuevo kit y propagado a través de sitios commo "apps.facebook.com", "awkwardfamilyphotos.com", "theguardian.co.uk" y "go.com" y muchos otros. Si el usuario hace clic en los anuncios de estos sitios, es redireccionado a sitios de malvertising y, a través del RIG explotando vulnerabilidades es infectado con el malware CryptoWall.Cuando CryptoWall se instala en el sistema infectado se inicia la exploración y cifrado (secuestro) de todos los archivos. Después de cifrarlos se crean los archivos que contienen instrucciones de "rescate" en cada carpeta, exigiendo hasta 500 USD. El servicio donde se instruye a los usuarios a pagar el monto de rescate es un servicio oculto que utiliza el servidor de Comando y Control y alojado en dominio TOR .onion.
La mayor parte de las infecciones, un 42 por ciento, están en los Estados Unidos, seguido por Inglaterra y Australia, pero seguramente esto se multiplicará rápidamente en todo el mundo, debido a las funcionalidades utilizadas para la infección.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!