Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Nuevo ransomware JavaScript da inicio al 2016
Los investigadores de seguridad están advirtiendo de una campaña de ransomware como un servicio (ransomware-as-a-service) el cual fue recién descubierto haciendo uso de software malicioso por primera vez escrito en JavaScript.
Fabian Wosar, de la firma de seguridad Emsisoft, explicó en una entrada de blog que Ransom32 se puede firmar en un sitio de la red Tor, usando sólo una dirección Bitcoin a la que se enviará el dinero menos un recorte del 25% de comisión.
Después de registrarse, los usuarios podrán acceder a una página de administración que les permitirá ver la cantidad de sistemas que están infectados, observar cuánto dinero se ha recogido y configurar diversos ajustes para el ransomware.
Estos ajustes incluyen la cantidad de BTC para solicitar a las víctimas además de si se bloqueará totalmente la computadora o se le permitirá a la víctima minimizar la pantalla de bloqueo para comprobar si sus archivos están totalmente cifrados o no.
Ransom32 es un archivo RAR autoextraíble de 22MB que pesa más de 67MB cuando se extrae. Una vez ejecutado, crea un acceso directo ChromeService que apunta a un paquete chrome.exe.
Chrome.exe es una aplicación empaquetada NW.js que contiene el código JavaScript que cifra archivos de la víctima y donde aparece la nota de rescate.
NW.js tiene varias ventajas, al ser un marco de trabajo legítimo, puede burlar las defensas de firmas tradicionales y, teóricamente, podría trabajar con unos pocos ajustes en los sistemas Linux y Mac OS X, aunque sólo ha sido observada esta amenaza en sistemas Windows hasta el momento.
Una vez que Ransom32 es ejecutado e instalado, se conectará a un servidor C&C en Tor con la dirección bitcoin donde la víctima pagará el rescate y donde se muestra el mensaje de extorsión.
El cifrado que se utiliza es AES-128 bits, el malware incluye una opción para descifrar un archivo donde muestra a la víctima qué se puede hacer.
Wosar afirmó que, cuando se trata de ransomware, "la mejor protección es una estrategia de copia de seguridad bien organizada." Además agregó que las herramientas de seguridad que ofrecen análisis de comportamiento para complementar las técnicas de firma tradicionales son más propensas a detectar este tipo de estirpe avanzada.
