1 2 3 4 5 6

Investigan esquema del ransomware como servicio Shark

Help Net Security 19-Ago-2016

Un nuevo proyecto de ransomware como servicio, conocido como Shark, ha aparecido. Los proveedores permiten su uso gratuito pero se quedan con 20 por ciento de cada monto pagado por las víctimas.

De acuerdo con el investigador de seguridad David Montenegro y Bleeping Computer, el sitio del proyecto está disponible para cualquiera que conozca la dirección y no solamente para usuarios de Tor. Es un simple sitio de WordPress desde donde quienes aspiran a ser criminales pueden descargar un archivo ZIP con el ejecutable de configuración (Payload Builder.exe), una nota de alerta (Readme.txt) y el ejecutable del ransomware (Shark.exe).

Se les instruye en el uso del ejecutable de configuración para elegir qué archivos y directorios se van a cifrar, el país de origen de los usuarios a atacar, la cantidad de dinero que se solicitará a las víctimas y una dirección de correo electrónica para notificar cuando la carga útil (payload) infecte a alguna máquina.

“Cuando se ingresa la configuración se genera una versión en base64, este código es usado como un argumento dentro del Shark.exe para especificar la configuración personalizada que deberá utilizarse”, explica Lawrence Abrams.

La dirección bitcoin a la cual se debe realizar el pago es la originaria de los autores del malware, quienes tomarán su respetivo 20 por ciento y reenviarán el resto a los criminales que distribuyeron la versión personalizada. Se desconoce si realmente cumplen con su parte del trato.

“Tomando en cuenta que la campaña de promoción de Shark está basada en spam y fue bloqueada de foros de hacking clandestinos como Megatop, parece más una estafa que otra cosa; algún criminal tratando de engañar a los primerizos para distribuir su malware y guardar todas las ganancias”, remarcó Catalin Cimpanu de Softpedia.

La carga útil generada a través del builder parece trabajar tal como lo promete. Cifra los archivos seleccionados y agrega la extensión .locked a las versiones cifradas de los archivos. Se espera que los investigadores de malware desarrollen pronto una herramienta para revertir dicha acción.

Mientras tanto, el ransomware no es detectable por los antivirus, dicen sus propios autores, sin embargo, Symantec incluyó la detección para esta amenaza y es muy probable que no sean los únicos.

Fuente: Help Net Security VA

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT