17 ago. 2016

Petya, Chimera y PokemonGo ransomware como servicio

El ransomware Petya hizo su primera aparición a finales de marzo y recuperó una técnica usada hace mucho tiempo por el predecesor del ransomware actual. Petya destacó por utilizar una agresiva técnica para conseguir que los usuarios pagasen el rescate. En lugar de cifrar los archivos del sistema, Petya sustituía el Master Boot Record y cifraba la Master File Table del disco, impidiendo así que el usuario pudiese acceder a los ficheros o iniciar siquiera el sistema.

Está técnica es similar a la usada en 1989 por el malware PCCyborg y de hecho, el mensaje que se muestra en pantalla una vez el malware ha conseguido infectar el sistema es incluso similar. Sin embargo, la estrategia de Petya no termina ahí ya que, en versiones posteriores se añadió la opción de ejecutar otro ransomware conocido como Mischa en el caso de no disponer de permisos de Administrador en el sistema. Mischa tiene características de ransomware tradicional y cifra los archivos del sistema como lo haría cualquier otro ransomware como Locky o Cerber, por poner dos ejemplos.

Petya: evolución del Ransomware como servicio

Las dos primeras variantes de Petya tuvieron ademas problemas en su código que permitió a varios investigadores como la polaca @hasherezade preparar herramientas de descifrado. No obstante, con Mischa no hubo tanta suerte y las víctimas de este ransomware no pueden, hasta el momento, descifrar sus ficheros.

Visto lo visto, los delincuentes detrás de Petya decidieron dar un paso más y mejorar su ransomware preparando una tercera versión que, además, está pensada para ser distribuido como un servicio que ofrecer a todos aquellos afiliados que deseen ganar dinero infectando sistemas.

Así pues, gracias a investigadores como Lawrence Abrams de Bleeping Computer sabemos que desde el 25 de julio existe una nueva variante de Petya y que todos aquellos aprendices de criminales pueden participar en su propagación, llevándose a cambió una comisión que varía en función de la cantidad de bitcoins recaudada. Además, no hacen falta conocimientos técnicos puesto que, como viene siendo habitual, todas las gestiones se realizan desde un panel web.
Como vemos en la web creada para captar nuevos afiliados, todo está explicado de forma sencilla y las promesas de ganancias pueden ocasionar que veamos nuevas campañas de propagación de esta nueva variante de Petya durante las próximas semanas.

Golpe a la competencia: Chimera

Pero la nueva estrategia de los creadores de Petya no termina aquí. Sabedores de que hay muchas otras variantes han decidido empezar a golpear a la competencia empezando por el ransomware Chimera, del cual Petya "toma prestado" parte de su código fuente. En un mensaje que han publicado recientemente incluyen 3.500 claves de descifrado pertenecientes a usuarios que han sido afectados por Chimera. Tal y como ellos mismos indican, esto puede permitir a investigadores y empresas de seguridad desarrollar una herramienta de descifrado para esta variante de ransomware que no cabe duda que muchos usuarios afectados por Chimera agradecerán.

Pero no nos engañemos ya que esta "buena acción" solo tiene como propósito eliminar posibles competidores y así poder infectar con su ransomware a más usuarios. Nada nuevo bajo el sol ya que las guerras entre desarrolladores de malware se remontan a muchos años atrás, con casos que incluían la desinfección de otros posibles malware antes de infectar un sistema.

Ransomware PokemonGo

Con la popularidad de PokemonGo, era inevitable que un desarrollador de software malicioso creara un ransomware que se haga pasar por él. Este es el caso de un nuevo ransomware descubierto por Michael Gillespie que se hace pasar por la aplicación PokemonGo.

A primera vista, la infección ransomware PokemonGo se parece a cualquier otra infección genérica ransomware. Explorará el sistema de la víctima para ubicar los archivos que tengan las siguientes extensiones:

.txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png

Cuando cifra un archivo utilizará el cifrado AES y añadirá la extensión .locked al archivo encriptado. Luego visualizará una nota de rescate que le dirá a la víctima ponerse en contacto con "me.blackhat20152015 @ mt2015.com" para obtener instrucciones de pago.

Un vistazo más de cerca, es evidente que este desarrollador usado tiempo extra para incluir características que no se encuentran en otros, pero si los hay, en otras variantes ransomware. Estas características incluyen la adición de una cuenta de usuario de Windows con puerta trasera, extendiéndose el ejecutable a otras unidades, y la creación de recursos compartidos en red. También parece que el desarrollador aún está trabajando en el ransomware ya que el código fuente contiene muchos indicios de que esta es una versión en desarrollo.

Fuente: Protegerse

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!