12 jun. 2016

Crysis y Jigsaw y CryptXXX: nuevos ransomware en escena

Hace unos días se dio a conocer la noticia en la que se indicaba que los responsables de ransomware TeslaCrypt habían tomado la decisión de desmontar toda la infraestructura y dar por finalizada la etapa de infección. Sin embargo, cuando todavía no se ha terminado la operación ya han aparecido algunos sustitutos con nuevas funcionalidades

Crysis, cifra unidades de red

 Crysis es capaz de cifrar archivos en unidades fijas, móviles y de red. Usa fuertes algoritmos de cifrado y un sistema que lo hace difícil de romper en un tiempo razonable.
En la mayoría de los casos, los archivos de Crysis se distribuyeron como adjuntos en correos electrónicos de spam, usando doble extensión. Otro vector usado por los atacantes fueron los archivos maliciosos disfrazados de instaladores con apariencia inofensiva, que se distribuyeron en línea y en redes compartidas. Para ser más persistente, el ransomware Crysis crea entradas de registro, de manera que sea ejecutado en cada inicio del sistema.

Al ser ejecutado, cifra todos los tipos de archivos, incluyendo aquellos sin extensión, dejando intactos solo los propios y los necesarios para la operación del sistema. El troyano recolecta el nombre de la computadora y varios archivos cifrados para enviarlos al servidor remoto controlado por el atacante. En algunas versiones de Windows también intenta ejecutarse con privilegios de administrador, extendiendo la lista de archivos a ser cifrados. Tras terminar con su tarea maliciosa, deja un archivo de texto llamado "Cómo descifrar tus archivos.txt" en la carpeta Desktop (Escritorio). En algunos casos, está acompañado de la imagen "DECRYPT.jpg", que muestra el mensaje de rescate como fondo de pantalla.

La información provista inicialmente está limitada a dos direcciones de correo de contacto de los extorsionadores. Tras enviarles el e-mail, la víctima recibe más instrucciones. Entre otras cosas, incluye el precio de la herramienta de descifrado, que oscila entre 400 y 900 euros. La víctima recibe la orden de comprar bitcoins y enviarlos a la billetera virtual de los operadores, especificada al final del mensaje.

Jigsaw, ofrece asistencia y chat al "cliente"

Un buen servicio al cliente es parte de un negocio exitoso. No debería ser sorpresa que incluso los creadores de ransomware intenten nuevas maneras de mejorar el proceso de pago. Así, en vez de utilizar un servicio en la Deep Web, Jigsaw se comunica con el usuario a través de un chat en vivo. Los atacantes tienen gente esperando para responder preguntas.
Los ciberdelincuentes ni siquiera crearon un cliente de chat propio; en su lugar utilizan onWebChat, una plataforma de chat disponible públicamente. El script del cliente de onWebChat está integrado en la página web. Este malware cifra los archivos y le coloca la extensión .PAYMS.

Existen algunos incentivos perversos en el trabajo de decidir centrarse en sus "clientes" (es decir, las víctimas) porque ahora las víctimas de este delito tienen una respuesta inmediata y humana cuando pierden sus archivos y esto puede predisponer a que paguen más rápido.

CryptXXX, cifra archivos y roba información

La versión más reciente del ransomware CryptXXX llegó con muchos cambios, entre los que destaca su módulo infostealer que puede robar contraseñas de diversas aplicaciones en la máquina infectada. Llamado StillerX, este módulo forma parte de CryptXXX a partir de versión 3.100, detectado por primera vez el 26 de mayo.

Este tipo de malware está diseñados para atacar las bases de datos internas de varios paquetes de software y extraer contraseñas que luego se envían a un servidor en línea. El módulo StillerX es capaz de robar datos de navegadores, gestores de descargas, clientes de correo electrónico, FTP software, IM aplicaciones, aplicaciones de poker, clientes de proxy, VPN, credenciales aplicaciones de de Microsoft.

Además de la habilidad de robar las contraseñas, CryptXXX también cambió su página de web de descifrado y ofrece nuevos gráficos más amigables para la víctima. Por último pero no menos importante, CryptXXX también es capaz de buscar unidades de red y cifrar los archivos que encuentra en esas particiones.

En abril, Kaspersky logró romper CryptXXX 1.x y 2.x pero CryptXXX. 3.100 es indescifrable.

Fuente: We Live Security | Softpedia |TrendMicro | ProofPoint

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!