Strar Trek o Viaje a las Estrellas comenzรณ a finales de los sesenta, pero aรบn tiene fervientes fanรกticos en todo el mundo. Por supuesto, dos de sus personajes icรณnicos son el capitรกn Kirk y Spock, pero, ยฟquรฉ tienen que ver ellos con la criptomoneda Monero? Pues que sรณlo era cuestiรณn de tiempo antes de que los hackers hicieran ransomwares temรกticos.
Este 16 de marzo, el investigador de malware de la compaรฑรญa de ciberseguridad Avastย Jakub Kroustek descubriรณ un nuevo tipo de ransomware llamado Kirk, en honor al capitรกn de la USS Enterprise. Escrito en el lenguaje de programaciรณn Python, encripta todos los archivos de la vรญctima y solicita rescate para recuperarlos, como cualquier otro ransomware, sรณlo que este tiene dos particularidades: la temรกtica de Viaje a las Estrellas (aunque no demasiada estรฉtica en el diseรฑo) y que el pago no se solicita en bitcoins, sino en Monero.
Segรบn Bleeping Computer, este podrรญa ser el primer ransomware que solicite el pago en otrasย criptomonedas distintas a Bitcoin, pero lo cierto es que el FBI ya ha encontrado algunos con anterioridad; y aunque no se especifican, los unen a los que piden pagos con Litecoin en un 25% de los casos que han atendido.
De cualquier forma, este parece ser el primer ransomware ligado a Monero que se describe. Su mรฉtodo de distribuciรณn no estรก claro, pero seguramente tiene que ver con Star Trek o incluso con los detractores de la Cienciologรญa, ya que la aplicaciรณn se disfraza como la Low Orbital Exploit Cannon, una herramienta diseรฑada para probar la capacidad de una red o para causar un ataque DDoS, que fue desarrollada originalmente durante el Proyecto Chanology encabezado por Anonymous contra la Iglesia de la Cienciologรญa.
Una vez ejecutado en el computador, este ransomware es capaz de cifrar hasta 625 tipos de archivos, a los que se les aรฑade la extensiรณn .kirked, dejรกndolos inutilizables. En el mismo directorio donde se aloja la aplicaciรณn aparecerรก entonces la nota de rescate y un archivo titulado โpwdโ, que contiene la versiรณn cifrada de la clave para poder retirar el virus y que es solicitada por el hacker para descifrarla una vez que es realizado el pago en Monero.
En la nota de rescate, donde aparece un capitรกn Kirk conformado por caracteres blancos sobre un fondo negro, se incluyen unas escuetas instrucciones para adquirir la moneda digital, la direcciรณn del hacker, y, por supuesto, las condiciones de pago.
Entre 0 y 2 dรญas se solicitan 50 XMR ($1170), y el pago se va doblando hasta los 30 dรญas, donde se piden 500 XMR ($11.715). El dรญa 31 tras la adquisiciรณn del ransomware, la clave โy por tanto los archivosโ se borra de manera permanente.
En caso de querer pagar para recuperar la informaciรณn, el vulcaniano llega al rescate. Se solicita entonces por correo la ID de la transacciรณn y el archivo pwd, para enviar a cambio la clave de descifrado y un programa llamado Spock. Este se ejecuta en el mismo directorio que la clave para recuperar todos los datos infectados; aunque en la nota se advierte que esta contraseรฑa es de uso รบnico, por lo que si se utiliza una vieja o alguna de otra mรกquina, los archivos se daรฑarรกn sin posibilidad de recuperaciรณn.
Y el hacker no se marcha sin desear una vida larga y prรณspera a su vรญctima.
Cabe mencionar que la elecciรณn de Monero como medio de pago no resulta en absoluto sorprendente, a pesar de que hasta ahora ha sido una prรกctica poco usual en el ransomware. A diferencia de Bitcoin, Monero es realmente anรณnima y sus transacciones no se pueden rastrear; algo que tambiรฉn le ha ganado su adopciรณn por parte de los mercados de la Internet Profunda. Para el FBI esto constituye una verdadera preocupaciรณn, dado que encontrar a los responsables en casos como este es casi imposible.
Imagen destacada porย Wit / stock.adobe.com
