Hechos clave:
- Aunque el cryptojacking gana, el ransomware sigue bastante vivo
- En lo que va de año han aparecido variantes bastante creativas
Tal vez el ransomware haya sido superado en cantidad por el cryptojacking desde el año pasado, pero está bastante lejos de desaparecer del panorama. De hecho, se podría decir que es la segunda amenaza cibernética más común en cuanto a criptomonedas se refiere, y no sólo eso: está evolucionando para volverse mucho más efectivo, tanto en víctimas individuales como corporativas.
Recordemos que el ransomware es un tipo de malware que cifra casi todos o todos los archivos en un dispositivo, con la intención de solicitar al dueño un rescate monetario, usualmente en criptomonedas.
Sólo en lo que va de 2019, diversos hackers han demostrado que no están para nada faltos de creatividad, así que algunas nuevas variantes de ransomware han hecho su aparición con nuevas funciones malintencionadas, trucos e incluso temáticas. A continuación, te enseñamos algunas de ellas.
CryptoMix
La metodología usual en cualquier tipo de ransomware es descargarse en el dispositivo, encriptar los archivos o todo el disco y mostrar, por último, el anuncio de que has sido hackeado y, si quieres tus archivos de vuelta, debes pagar un rescate. En el caso del CryptoMix, la creatividad de los hackers queda muy clara en ese anuncio:
¡Somos una Organización Internacional de Caridad Infantil! Tu dinero será gastado en la caridad infantil. Así que esto quiere decir que tendrás una participación en el proceso también. ¡Muchos niños recibirán presentes y ayuda médica! ¡Y confiamos en que eres una persona amable y honesta! ¡Muchas gracias! ¡Te deseamos lo mejor! ¡Tu nombre estará en la lista de donantes principales y se quedará en la historia de la caridad! (…) ¡El dinero para ti es sólo papel (ganarás más otra vez el mes próximo), pero para muchos niños es una oportunidad real de cambiar sus vidas!
A continuación, se describen los beneficios de pagar el rescate: recuperar tus datos de inmediato, arreglar las vulnerabilidades de tu red, proteger tu sistema del mismo ataque en el futuro, obtener soporte gratuito para resolver “los problemas de tu PC” y, por supuesto, ayudar a niños desamparados. Y sólo en caso de que no quieras ayudarlos muy pronto, se advierte que el precio podría doblarse en las próximas 24 horas.
Por supuesto, no hay tal organización de caridad: sólo hackers tratando de conseguir criptomonedas. En caso de que este malware llegue a tu PC, Avast tiene disponible una herramienta gratuita para desencriptar tus archivos sin tener que pagar el rescate.
Ransom-phishing
Otra de las amenazas más comunes en el criptomundo es el phishing, es decir, la imitación de páginas web legítimas por parte de hackers maliciosos, con el fin de robar credenciales y contraseñas. Parecía sólo cuestión de tiempo para que a algún hacker se le ocurriera la idea de mezclarlo con ransomware.
MalwareHunterTeam descubrió un nuevo tipo de ransomware que utiliza la metodología normal para el caso, pero añadiendo como posible método de pago PayPal, además de Bitcoin. Claro que, en realidad, al pinchar sobre la opción en el anuncio se redirige a la víctima a una página phishing idéntica a PayPal, donde le solicita actualizar la información de su tarjeta de crédito. Estos datos serán robados por el hacker.
Tomando en cuenta esto, es importante siempre estar muy pendiente de que la URL sea correcta. En este caso, por ejemplo, no puede ser más distinta a la URL original de PayPal.
BlackRouter
Este tipo de ransomware no es muy distinto a otros, al menos, de cara al usuario. Se descarga, encripta los archivos, pide un rescate en BTC. Sin embargo, la acción “creativa” sucede tras bambalinas, pues fue promocionado en canales de Telegram por un desarrollador iraní como una especie de Ransomware-as-a-service (RaaS), es decir, a la venta para cualquier que quiera esparcirlo por sí mismo y cobrar la recompensa.
No obstante, la propuesta difiere un poco de una venta y se asemeja más a una sociedad. Este desarrollador invita a cualquiera que quiera hacerlo a participar de forma gratuita en “su proyecto”, con la promesa de pagar a quienes lo esparzan un 80% de los rescates, mientras que el “proyecto” se quedaría con un 20%.
hAnt
Esta es quizás la variante de ransomware más dañina en lo que va de año, al menos, para los mineros de criptomonedas. Con el hAnt, los hackers evaden a las víctimas y dispositivos comunes y se centran en atacar a equipos especializados para la minería (ASIC), ocasionando así pérdidas importantes para sus dueños, pues cada momento que estos equipos se detienen es dinero perdido.
No está muy claro cómo el malware llega hasta los dispositivos, pero se especula que puede ser a través de versiones no oficiales del firmware. Una vez instalado, se despliega un anuncio que da la opción a la víctima de pagar 10 BTC o infectar a al menos 1.000 máquinas más para retirar el virus en la suya. De negarse a ambos, la nota amenaza con apagar los ventiladores de los mineros y su protección contra el calor, lo que ocasionaría la destrucción del ASIC.
No se ha reportado la destrucción de ningún ASIC hasta el momento, así que puede que esa amenaza en particular sea vacía.
Matrix
Mientras que la mayoría de los ransomware llegan al dispositivo mediante correo basura y phishing, Matrix utiliza un método más silencioso. Para llegar al computador, se vale de un ataque de fuerza bruta contra las contraseñas para las máquinas de Windows accesibles a través de un firewall que tenga activado el Protocolo de Escritorio Remoto (RDP).
Otra marca que lo distingue es su rescate inusualmente alto: $2.500 en BTC, así como el método para pagarlo: en lugar de poner las instrucciones en el anuncio, los hackers invitan a la víctima a comunicarse con ellos y enviarles algunos de los archivos encriptados primero.
Finalmente, según el experimento llevado a cabo por Sophos Labs, los hackers incluso se molestan en bajar el rescate hasta $1.500 si la víctima no se nota muy dispuesta a pagar.
Pop-ransomware
Aunque muchos de los nuevos tipos no muestran características demasiado fuera de lo común en lo técnico, la falta de creatividad tampoco hace falta. Desde hace años rondan ransomware temáticos con diferentes personajes de la cultura pop, desde Obama hasta Kirk. Especialmente notable es el Jigsaw, decorado con el títere macabro de esa película y amenazando con borrar archivos por cada hora que pasen sin rescate.
Varias variantes del Jigsaw han aparecido este año, y una de ellas reemplaza al títere por Pennywise, el payaso macabro la película It. Por otro lado, una variante del ransomware GrandCrab, dirigida específicamente a usuarios italianos, utiliza al personaje Mario del videojuego Súper Mario Bros.
Es importante tener en cuenta que la mayoría de las variantes de este virus llegan a contaminar un dispositivo porque el usuario abrió previamente links o archivos adjuntos en correo sospechoso, o descargó versiones no oficiales de aplicaciones. Para protegerse hay que ser cuidadoso, además de mantener el sistema operativo y el antivirus actualizados.
Imagen destacada por arrow / stock.adobe.com
