Ransomware deja archivos irrecuperables incluso para el atacante

Un cibercriminal ha desarrollado un ransomware basado en una prueba de concepto publicada en línea, pero falló al implementarla de forma que los archivos de la víctima quedan completamente irrecuperables.


Los investigadores del distribuidor de antivirus Trend Micro recientemente descubrieron un nuevo ransomware que cifra archivos, se distribuye como actualización de Flash Player mediante un sitio comprometido en Paraguay.

Después de analizar el código del programa, se dieron cuenta de que fue una modificación de una prueba de concepto de una aplicación de cifrado de archivos llamada Hidden Tear, que fue publicada en GitHub en agosto por un entusiasta de la seguridad turco.

Hidden Tear incluye un aviso de que el código deberá ser usado con propósitos meramente educativos y advierte que quien lo use como ransomware podría ir a la cárcel.

No es sorpresa que los cibercriminales no den importancia a los avisos o advertencias penales, así que no pasó mucho tiempo para que el código fuera usado para crear programas de ransomware.

Primero, algunos usuarios de Reddit señalaron las similitudes entre Hidden Tear y Linux.Encoder, un ransomware que atacaba servicios web. Las similitudes incluían una falla en la implementación del cifrado que hacía que los archivos afectados fueran recuperados sin la necesidad de pagar.

Después de enfrentar críticas comprensibles por liberar el código, el autor de Hidden Tear dijo en una publicación de blog en noviembre que una de sus intenciones era crear una trampa para los cibercriminales novatos y que la falla de cifrado fue intencional.

Aun así, parece que el código está creando más mal que bien.

Llamado RANDOM_CRYPTEAR.B, el ransomware distribuido desde el portal de Paraguay está también basado en Hidden Tear, pero su creador, supuestamente un hacker brasileño, ha cometido un serio error, de acuerdo a los investigadores de Trend Micro.

Una vez ejecutado en una computadora, RANSOM_CRYPTBEAR.B genera una llave de cifrado y la guarda en un archivo en el escritorio de la computadora. Luego procede a cifrar archivos con ciertas extensiones, incluido el archivo donde se guardó la llave de cifrado, antes de ser enviado al atacante.

Esto hace esencialmente imposible recuperar los archivos, puesto que la misma llave se cifra, probablemente por error, dijo el investigador de Trend Micro en una publicación de blog.

En otras palabras, los usuarios infectados por el programa no serán capaces de recuperar sus archivos, en ausencia de respaldo, inclusive si deciden pagar el rescate.

Compartir información acerca de cómo trabajan las amenazas es importante para entenderlas y proteger a los usuarios, pero liberar el código fuente públicamente no ayuda a esa meta, dijeron los investigadores de Tren Micro.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

NI que se cruce ese malware por mi red