Reporta aumento de troyanos
que piden dinero para recuperar información
ESET, compañía líder en detección
proactiva de amenazas, ha notado en los últimos meses un incremento
significativo en la actividad de los troyanos que cifran información de
los usuarios e intentan extorsionarlos ofreciéndoles el pago de un rescate a
cambio de los mismos.
Esta categoría de códigos
maliciosos existe hace varios años y se denominan Filecoders. Son uno de
los tipos de ransomware más prolíficos, y han sido detectados por los
productos de ESET como Win32/Filecoder y Win32/Gpcode, entre
otros.
El sistema de alerta temprana ESET Live
Grid muestra que el número de detecciones semanales de Win32/Filecoderse
ha triplicado a partir de julio de 2013, en comparación al número promedio
registrado entre enero y junio del mismo año. El país más afectado por esta
familia de malware es Rusia; sin embargo, existen campañas de
propagación activas en diferentes partes del mundo.
La principal característica de Filecoderes que puede cifrar los archivos de la víctima
(generalmente fotos, documentos, música y archivos) para luego pedir un pago
para liberarlos. Incluso llega a hacer el cobro utilizando Bitcoin, lo que demuestra que los
cibercriminales siguen adaptándose a las nuevas tendencias de los usuarios.
Al igual que en otros casos de troyanos, los
cibercriminales que utilizan el ransomware
Filecoder poseen diferentes métodos para propagar esta amenaza, que
incluyen sitios maliciosos, archivos adjuntos en correo electrónico, o la
utilización de otros troyanos, por ejemplo los de tipo backdoor.
En uno de los casos investigados
por ESET,
se observó que la víctima recibía un archivo adjunto por correo electrónico que
contenía un backdoor. Cuando era ejecutado, el troyano procedía a contactarse
a un Centro de Comando y Control (C&C) a la espera de comandos remotos.
Posteriormente, el atacante enviaba una variante de Win32/Filecoder a
los equipos infectados. Esta acción permitía infectar esos sistemas sin la
necesidad de copiar el troyano al disco y solamente cargándolo en memoria RAM.
Otro caso es Win32/Filecoder.BH
(también conocido como DirtyDecrypt).
Este malware utiliza un método visual de extorsión hacia la víctima: durante
el ciclo de cifrado de imágenes y documentos, el contenido de ambos tipos de
archivos es sobrescrito con un mensaje de advertencia seguido de los bytes
originales del cifrado.
Otra variante reciente, Win32/Filecoder.BQ,
intenta presionar a la víctima utilizando una cuenta regresiva del tiempo que
resta para que la llave del cifrado sea eliminada definitivamente y los
datos no puedan ser recuperados.
“Recomendamos a los usuarios proteger la
configuración de la solución de seguridad con una contraseña, para
evitar que un atacante pueda alterar los parámetros de
protección. Asimismo, es fundamental mantener un respaldo de los datos (backup)
actualizado”, declaró André Goujon, Especialista de Awareness & Research de
ESET Latinoamérica.
Más información sobre Filecoder disponible en http://blogs.eset-la.com/laboratorio/2013/09/24/filecoder-dinero-cambio-informacion-secuestrada/.
No hay comentarios:
Publicar un comentario