El ransomware ARCrypter previamente no identificado se expande en todo el mundo

Un ransomware 'ARCrypter' previamente desconocido que comprometió a organizaciones clave en América Latina ahora está expandiendo sus ataques en todo el mundo.

Los actores de amenazas detrás de la nueva familia de ransomware  atacaron una agencia gubernamental en Chile en  agosto pasado, apuntando a los sistemas Linux y Windows y agregando la extensión ".crypt" en los archivos cifrados.

En ese entonces, el analista de amenazas chileno Germán Fernández le dijo a BleepingComputer que la cepa parecía completamente nueva, sin conexión con ninguna familia de ransomware conocida.

Los investigadores de BlackBerry han confirmado esto a través de un informe que identifica a la familia como ARCrypter y la vincula a un  segundo ataque  contra el Instituto Nacional de Vigilancia de Drogas y Alimentos de Colombia (Invima) en octubre.

BlackBerry también advierte que ARCrypter ahora está expandiendo sus operaciones fuera de América Latina y apuntando a varias organizaciones en todo el mundo, incluidas China y Canadá.

BleepingComputer confirmó esta expansión y también vio víctimas de ARCrypter en Alemania, EE. UU. y Francia.

Las demandas de rescate varían y llegan a ser tan bajas como $ 5,000 en algunos casos vistos por BleepingComputer, por lo que ARCrypter opera como un actor de ransomware de nivel medio.

Detalles de ARCrypter

BlackBerry dice que las primeras muestras de ARCrypter aparecieron a principios de agosto de 2022, unas semanas antes del ataque en Chile.

El vector de ataque sigue siendo desconocido, pero los analistas pudieron localizar dos URL de AnonFiles que se utilizan como recursos remotos para obtener un archivo "win.zip" que contiene "win.exe".

El ejecutable es un archivo cuentagotas que contiene los recursos BIN y HTML. HTML contiene los datos de la nota de rescate, mientras que BIN contiene datos cifrados que requieren una contraseña.


Si se proporciona una contraseña, BIN creará un directorio aleatorio en la máquina comprometida para almacenar la carga útil de la segunda etapa, que se nombra con caracteres alfanuméricos aleatorios.

"Si bien no pudimos identificar la clave de descifrado correcta utilizada para descifrar el recurso BIN, creemos con un alto grado de certeza que la segunda carga útil es el ransomware ARCrypter", dice BlackBerry en el informe.


La carga útil de ARCrypter luego crea persistencia agregando la siguiente clave de registro:

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SecurityUpdate"

A continuación, el malware elimina todas las instantáneas de volumen para evitar una fácil restauración de datos, modifica la configuración de la red para asegurar una conectividad estable y luego encripta todos los archivos excepto los tipos que se muestran a continuación.


Los archivos en ubicaciones críticas como las carpetas "Arranque" y "Windows" también se omiten para evitar que el sistema quede completamente inutilizable.

Aparte de la extensión '.crypt', los archivos encriptados mostrarán un mensaje 'TODOS SUS ARCHIVOS HAN SIDO ENCRIPTADOS' en el administrador de archivos, gracias a las modificaciones en las siguientes claves del Registro:



Si bien los actores de amenazas afirman robar datos durante sus ataques, la operación de ransomware actualmente no tiene un sitio de fuga de datos que utilicen para publicar datos para víctimas no remuneradas.

En este momento, se sabe poco sobre los operadores de ARCrypter, su origen, idioma y vínculos potenciales con otras bandas de ransomware.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta