Hoy día, por desgracia, las diferentes formas de hackeo se han convertido en un gran negocio para los cibercriminales. Grupos como el Armada Collective suelen atacar con DDoS, mientras que otros optan por desarrollar virus como el Dridex para robar las credenciales bancarias o las claves de monederos bitcoin.
Otro método muy popular es el Ransomware, que, literalmente, secuestra los archivos de la terminal hasta conseguir un rescate. A este tipo pertenece el nuevo HDDCryptor, del cual una reciente ola de infecciones se ha reportado.
También conocido como Mamba gracias a la investigación de Renato Marinho de Morphus Labs, tiene bien merecido el nombre de esta serpiente de veneno paralizante, pues este tipo de ransomware no sólo encripta los archivos para que el usuario no pueda acceder a ellos, sino que ni siquiera deja que el computador se inicie; ya que también oculta los archivos del sistema operativo necesarios para hacerlo funcionar.
Tras su efecto, la víctima sólo puede ver una pantalla negra con un mensaje bastante claro: “¡Fuiste hackeado! H.D.D Encrypted, Contáctanos a la dirección (w889901665@yandex.com) YOURID: 123152”.
Tal como muestra la misma investigación de Marinho, al contactarse por ese correo se le indica a la víctima que debe transferir 1 bitcoin ($609.1) por servidor secuestrado a la cartera Bitcoin del hacker, pues es la manera más rápida de recuperar sus datos y su terminal. Se resalta que sólo se aceptan bitcoins, e incluso se incluyen instrucciones de cómo abrir un monedero digital en caso de no tener uno. Hasta los momentos, la dirección Bitcoin del secuestrador ostenta 4 BTC, así que parece que su táctica ha funcionado con algunas víctimas.
El HDDCryptor parece estar en plena campaña de expansión, pues se han reportado múltiples ataques por usuarios locales en ciertos foros, e inclusive un gran ataque a una empresa multinacional que vio sus servidores afectados en sus sedes de Estados Unidos, Brasil y la India.
¿Qué se puede hacer?
Este ransomware se descarga a los ordenadores mediante un archivo llamado “152.exe” que se puede encontrar en sitios web maliciosos. Lo mejor que se puede hacer ante la amenaza es, como con cualquier otra, mantener un buen antivirus actualizado, pero además evitar descargar cualquier tipo de software desde páginas web no oficiales.
Muchas son las personas que suelen utilizar sitios de descarga diversos para hacerse con programas de distinta funcionalidad. Por supuesto, no siempre estos sitios están infectados, pero lo cierto es que alrededor del botón de descarga original también pueden encontrarse muchos otros que contienen la misma palabra, pero redirigen a estos sitios web maliciosos que pueden contener toda clase de virus o herramientas de ataque cibernético. Por ello, a la hora de descargar cualquier cosa al ordenador, es vital estar atento y conocer muy bien el sitio elegido.
Esta ola de ataques con HDDCryptor viene casi al mismo tiempo de que un estudio de McAfee señalase un alarmante aumento de 128% en incidentes con ransomware, y un par de meses después de que la popular página latinoamericana JKanime fue infectada para esparcir este tipo de malware. Ahora más que nunca cada usuario debe estar preparado y alerta.
5