Hay que admitir que el ransomware va convirtiéndose poco a poco en toda una industria. Según el FBI, ya hay al menos 20 mil ataques al día que en 2016 causaron pérdidas de 1000 millones de dólares; cifra podría duplicarse este año. Ante estos números quizás los hackers pensaron que ya era hora de ponerse más profesionales, de modo que el nuevo ransomware Spora viene con servicio de atención al “cliente” (más bien a la víctima) en tiempo real y una sofisticada tienda en línea donde escoger los pagos que se quieren realizar; como de costumbre, sólo se aceptan bitcoins.
Reportado por primera vez en los foros de Bleeping Computer, un sitio de soporte de seguridad cibernética, y de Kaspersky Labs, miembro fundador de la iniciativa No More Ransom, sus primeras versiones se presentaron en ruso a través de correos basura que pretendían ser notificaciones de facturas. Dichos correos incluían un archivo adjunto con doble extensión para Windows (pdf.hta/doc.hta), sistema en el que sólo puede visualizarse a simple vista la extensión de documento y no el ejecutable. Pero una vez abierto sólo muestra un presunto archivo dañado de Word o PDF mientras la aplicación del Spora se instala en el computador y empieza a cifrar los archivos para pedir el rescate, incluso en modo offline.
A diferencia de otros tipos, el Spora no parece muy agresivo, pues no cuenta con una larga lista de extensiones a encriptar, sino que se concentra en los archivos más personales como documentos e imágenes. El botín exigido en cada caso tampoco parece ser demasiado caro en comparación con otros, pero, eso sí, no se han encontrado vulnerabilidades en su sistema, así que resulta igual de efectivo. Y ya no sólo está destinado a los rusos, pues ha incluido una interfaz en inglés que se ha extendido por Asia, Europa y Norteamérica, según indica la compañía de ciberseguridad ESET.
Pese a todo esto, seguramente lo más resaltante del Spora es su servicio de atención al “cliente” y junto a él su insistencia en recibir recomendaciones por parte de sus víctimas. Ya hemos comentado con anterioridad que pagar el rescate no asegura la recuperación de los archivos: pues bien, en Spora pretenden dar una imagen ‘confiable’ en cuanto a ello, así que invitan a sus víctimas a dar testimonio de que sus datos fueron recuperados sin problemas y además contando con el servicio de chat de su tienda en línea alojada en un servidor escondido en la Darknet, sólo accesible vía Tor.
En este chat se responden todas las dudas y además las víctimas pueden negociar las condiciones de su pago, tal como muestran las conversaciones recogidas por Bleeping Computer.
Cabe mencionar que una vez que encriptan todos los archivos, aparece la nota de rescate en el terminal y con ella una ID única para cada usuario, con la que pueden sincronizar su dispositivo con esta tienda en línea. La llamamos ‘tienda’ porque en realidad hay varios ‘servicios’ para comprar: restauración completa, remoción simple, restauración de un solo archivo, inmunidad para ataques futuros (que en realidad funciona) e incluso una muestra gratis de buena voluntad para desencriptar dos archivos. Y como todo es personalizado, también aparece la fecha límite de pago antes de que se borre la información.
Según sea la cantidad de computadores secuestrados o si la víctima es personal o corporativa, el rescate completo puede variar entre 79 y 280$ en bitcoins. Moneda que por cierto no conocen todas las víctimas, por lo que se incluye también un vídeo instructivo al respecto.
Por lo menos, nadie puede negar que los hackers tienen bastante inventiva. Y seguramente los bancos ingleses que han estado comprando bitcoins preparándose para este tipo de ataques preferirían el Spora, donde, al parecer, la devolución de sus archivos está garantizada. Pero no te confundas: esto sigue siendo extorsión.