Se descubrió recientemente un nuevo tipo de crypto-ransomware que utiliza un método de distribución poco común. Denominada “Locky”, esta variante de ransomware se infiltra en el sistema a través de un macro malicioso encontrado en un documento de Word. Si bien raramente se ha visto ransomware que dependa de macros, la técnica de distribución podría estar vinculada al tristemente célebre malware bancario DRIDEX, que utiliza métodos similares.
Locky penetra en los sistemas de las víctimas a través de un correo electrónico que se hace pasar por una factura con un documento Word anexo que contiene macros maliciosos. De acuerdo con investigadores, el asunto del correo dice: ATTN: Invoice J-98223146 con un mensaje que explica, “Por favor, vea la factura anexa (Documento de Microsoft Word) y remita el pago de acuerdo con los términos contenidos en la parte inferior de la factura”.
Dada su naturaleza peligrosa, Microsoft inhabilita los macros por defecto. Habilitar los macros, como lo señala su boletín de seguridad, “hace a su computadora vulnerable al código potencialmente malicioso y no es recomendable”. Cuando se habilitan los macros y se abre el documento descargado, inicia la instalación del malware. De lo contrario, la víctima desprevenida verá líneas de texto incomprensible que le sugiere a los usuarios “Habilitar el macro si la codificación de los datos es incorrecta”.
El archivo ejecutable del malware Locky se descarga desde un servidor web. Una vez que se instala, comienza a buscar los controladores anexos (incluyendo controladores en red) y encripta los archivos como documentos, imágenes, música, videos, archivos, bases de datos y otros archivos relacionados con las aplicaciones web. Los archivos encriptados son renombrados y se les agrega la extensión “.locky”. Al igual que con otras variantes de ransmoware, se deja en todos los directorios una nota de rescate en varios idiomas que ha sido encriptada. El mensaje dirige a las víctimas a una red Tor para hacer el pago en Bitcoins (O.5 BTC).
Los investigadores de Palo Alto Networks han registrado 446,000 sesiones que involucran a este nuevo ransomware, y detectaron que más de la mitad de ellas (54%) han afectado a víctimas en Estados Unidos. Trend Micro detecta a esta variante de ransmware como RANSOM_LOCKY.A. Además de Estados Unidos, también se le ha visto en otros países como Japón, Alemania, Francia, Italia, Reino Unido, México, España, Israel y la India, entre otros.
Un análisis más a fondo realizado por nuestros investigadores también demuestra que además de tener los mismos programas de descarga de macros, parece haber similitudes en la manera en que se codifican DRIDEX y los programas de descarga de macros Locky. Ambos utilizan el mismo nombre de archivo (ladybi.exe) cuando entran al sistema.
Además, nuestros investigadores han detectado un vínculo entre Locky y otras variantes de crypto-ransomware. Locky, CRYPTESLA y CRILOCK son empacados por el mismo empacador. Esto podría significar que esta herramienta es utilizada por el mismo distribuidor o que este empacador ya está disponible y es accesible para diferentes autores de ransomware.
Las infecciones de ransomware siguen siendo un ataque devastador y altamente efectivo utilizada para obtener grandes ganancias de sus víctimas. Uno de los incidentes más conocidos involucró a un ataque de ransomware que recibió mucha publicidad, el cual paralizó los sistemas y las redes del Centro Médico Presbiteriano de Hollywood durante más de una semana. Posteriormente la administración del hospital admitió haber pagado el rescate de 40 Bitcoins, o $17,000 dólares, para restaurar los sistemas afectados. Los primeros reportes hablaban de un rescate de $3.6 millones de dólares, lo que la institución corrigió a través de un memorando oficial.
Leave a Reply