Los criminales cibernéticos cada día se ponen más creativos e ingenian nuevas formas de perpetrar delitos contra la privacidad. Ya hemos visto que los hackers han cambiado el método de pago de dólares a bitcoins, pero, por supuesto, eso fue sólo el comienzo de su larga lista de innovaciones.
Tal como ha descubierto el MalwareHunterTeam, equipo de detección de aplicaciones maliciosas en internet, ahora se encuentra en desarrollo una nueva clase de ransomware, cuya principal característica es que ofrece a las víctimas una ‘manera fácil’ de desencriptar sus archivos (pagando con bitcoins), y otra ‘maliciosa manera’ consistente en, básicamente, ayudar a esparcir el virus a otros usuarios.
Titulado ‘Popcorn Time’, aunque nada tiene que ver con la aplicación multimedia homónima, los hackers han decidido tomar la idea de los mercados de referencia en línea, donde se le otorga un enlace a los usuarios que quieran conseguir un servicio, para que ellos puedan enviarlo a sus conocidos y atraer así más usuarios. Con cierta cantidad de referidos se puede conseguir el servicio sin pagar por él. Y así funciona la ‘maliciosa manera’ del Popcorn Time: si la víctima no tiene para pagar el bitcoin solicitado, puede usar el link de referencia para conseguir que otros se infecten. Si al menos otras dos personas instalan (involuntariamente) el ransomware y deciden pagar, entonces se le otorga gratis la contraseña para desencriptar su propio disco duro al que lo esparció.
Dado que aún se encuentra en desarrollo, la manera en que planea llegar hasta sus víctimas aún no está clara. Sin embargo, si algo puede decirnos su nombre, es que habrá que estar muy atento a la hora de descargar cualquier aplicación relacionada a películas. Para empezar, Popcorn Time llegaría inadvertidamente hasta el ordenador víctima, revisando que no existan ya los archivos que indican que ha sido encriptado. De no ser así, procederá a encriptar los archivos localizados en las bibliotecas y en el escritorio con la extensión .filock mientras al usuario se le muestra el instalador falso de un programa.
Una vez concluido el proceso aparece un mensaje de advertencia muy detallado para solicitar el rescate, describiendo la identidad única del ordenador, la dirección Bitcoin a la que se puede enviar el rescate e incluso dejando un espacio para introducir la contraseña en caso de haber pagado por ella. Pero quizás lo más trágico es que también incluyen una cuenta regresiva de 6 días “antes de que tus archivos se pierdan para siempre”. Asimismo, su código apunta a que todos los archivos serán borrados si la contraseña para desencriptarlos es introducida de forma incorrecta 4 veces.
Aunque ese no es todo el contenido de la nota HTML automática, también incluyen una descripción de lo que hicieron en el ordenador de la víctima, instrucciones para comprar bitcoins, la lista completa de los archivos encriptados y, algo muy particular, toda una sección explicando por qué lo han hecho.
Pese a que la respuesta del beneficio personal puede parecer obvia, estos hackers se declaran estudiantes de ciencias en Siria que han sufrido terribles pérdidas durante los últimos 5 años de la cruenta guerra civil. Resaltan que el país está pasando por un muy mal momento y que las cantidades obtenidas a través de este medio serán destinadas a conseguir medicinas y provisiones para su gente. El final del texto reza: “Lamentamos muchísimo obligarte a pagar, pero es la única forma en que podemos sobrevivir”.
Lo más probable sea que este mensaje no consista en más que un truco para ofrecer más alicientes a las desafortunadas víctimas a la hora de pagar el rescate. Si bien es cierto que la actual situación de Siria es, cuando menos, lamentable, también lo es que no todo es guerra. En ciudades como Damasco o las regiones costeras de Latakia y Tartus la vida ha continuado pese a todo y las personas pueden acceder, de hecho, a medicamentos y provisiones.
Por otro lado, en las zonas que sí son objeto de bombardeos y donde quizá puedan faltar los medios más básicos para la supervivencia, resulta bastante difícil imaginar el método de los hackers para acceder a un computador con internet (y Tor) en esas condiciones, por no mencionar cómo cambiarían bitcoins por moneda local o por las provisiones que aseguran estar necesitando.
También podría tratarse de buenos samaritanos que, desde algún lugar, han logrado poner en desarrollo este malware para ayudar a sus compatriotas, pero lo cierto es que no es posible saberlo. En caso de ransomware, la recomendación general es no pagar el rescate y acudir con un experto. Y para realizar donaciones caritativas ya existen, de hecho, otras plataformas que sí han asegurado la llegada de fondos a destino seguro, tal como AID:Tech, la cual sí logró ayudar a refugiados sirios en un proyecto junto a la Cruz Roja Internacional.
