Los delincuentes cibernéticos están difundiendo un nuevo programa ransomware cifrador de archivos que es más potente y resistente que Cryptolocker, amenaza recientemente cerrada por el Departamento de Justicia de los EE.UU.
La nueva amenaza ransomware se llama CTB-Locker (Curva-Tor-Bitcoin Locker), pero los productos anti-malware de Microsoft lo detectan como Critroni.A.
Su creador está realizando publicidad de su programa a otros delincuentes cibernéticos en los foros underground rusos desde mediados de junio y parece que ha estado tratando de arreglar la mayoría de los defectos de Cryptolocker.
Critroni utiliza un algoritmo cifrador de archivos basado en la criptografía de curva elíptica, las pretensiones de su creador es lograr una más rápida encriptación de los archivos que otras amenazas ransomware similares. Esto también hace que descifrar los archivos afectados sea imposible sin tener que pagar el rescate, ya que no hay defectos de implementación.
Como Cryptolocker, Critroni genera un par de claves pública y privada para cada sistema infectado. La clave pública se almacena en el ordenador infectado y se le da a la víctima, a quien se le pide que pague un rescate en Bitcoin con el fin de recuperar sus archivos.
La clave privada, que se utiliza para descifrar los archivos, se almacena en un servidor de comando y control remoto que, en el caso de Critroni, sólo se puede acceder a través de la red anónima Tor. Esta es una precaución que el creador ha tomado con el fin de hacer que sea difícil para los organismos encargados de hacer cumplir la ley o los investigadores de seguridad poder identificarla y cerrar el servidor.
A principios de junio, el Departamento de Justicia, junto con las autoridades policiales de varios otros países tomó el control de la botnet Zeus Gameover que estaba distribuyendo el ransomware Cryptolocker. Durante la operación las autoridades también confiscaron los servidores de comando y control de Cryptolocker.
"Cryptolocker debe comunicarse con su infraestructura de comando y control con el fin de cifrar los ordenadores cuando se realiza una nueva infección,"...
Para impedir derribos similares Critroni fue diseñado para completar la operación de cifrado de archivos de forma local antes de conectarse al servidor de comando y control. Esto también hace que sea difícil para los productos de seguridad de red detectarla de manera temprana y bloquearla mediante el análisis de tráfico.
El bloqueo del tráfico en Tor sólo previene al usuario de pagar, no que el programa funcione, el autor Critroni lo afirmó en su anuncio.
El nuevo programa ransomware está inicialmente dirigido a los usuarios de habla rusa, pero las variantes que se han visto últimamente también muestran el mensaje de rescate en Inglés, lo que sugiere que la amenaza se está distribuyendo más ampliamente, afirmó un investigador de malware independiente conocido en línea como Kafeine en una entrada de su blog el día viernes.
"Parece que es un ransomware más resistente y bien elaborado."
A pesar del éxito del Departamento de Justicia contra Cryptolocker, no todos los investigadores en seguridad creen que la amenaza está muerta. La afirmación del Departamento de Justicia de que la amenaza ha sido neutralizada debe ser analizado porque la incautación de los servidores de comando y control sólo obtuvieron un impactó en las muestras de Cryptolocker que han sido distribuidos por la botnet Zeus Gameover, mencionó Tyler Moffitt, un investigador de seguridad de Webroot en una entrada del blog del día jueves.
"Todas las muestras actualmente desplegadas por diferentes redes de bots que se comunican a diferentes servidores de comando y control no se ven afectadas por esta situación".
Fuente: Forospyware.com
No hay comentarios:
Publicar un comentario