El ransomware Fantom ataca disfrazado como una actualización legítima de Windows, engañando a los usuarios para que lo descarguen, con lo cual vulneran la integridad de su información.

Fue descubierto por el investigador Jakub Kroustek de la firma de seguridad AVG y está basado en el proyecto de ransomware de código abierto EDA2. Fantom aparece en el monitor desplegando una pantalla de falsa de actualización con un archivo de descarga llamado "Actualización Crítica". 

"Aunque los cibercriminales usan diferentes tácticas para atacar con ransomware, la estrategia usada en el caso de Fantom es inteligente", explicaron investigadores de Comodo, en una publicación. "Los atacantes imitan una pantalla que la mayoría de los usuarios, incluyendo los usuarios en el negocio, reconocen e incluso confían en ella; es comparativamente fácil llevar a la gente a creer que están obteniendo una actualización legítima de Windows, así que los llevan a descargar Fantom. Esto puede ser un indicador de una tendencia peligrosa respecto al malware en general y el ransomware en particular."

Una vez que lo han descargado, el ransomware extrae y ejecuta otro programa embebido llamado WindowsUpdate.exe. Para seguir con el tema, una falsa pantalla de actualización de Windows aparece, sobreponiéndose a todas las ventanas activas, y evitando que los usuarios cambien a otra aplicación. La pantalla de actualización muestra un porcentaje que lleva a las víctimas a creer que la actualización se está llevando a cabo, mientras que en realidad sus archivos están siendo cifrados. 

Comodo explica que Fantom, como otros ransomware basados en EDA2, generan una llave AES-128 y la cifran usando RSA. Entonces, lo cargan en el servidor de control y comando de los desarrolladores del malware. Entonces escanea los discos locales para encontrar archivos que contienen ciertas extensiones. Estos archivos son cifrados usando AES-128; para cada archivo cifrado se añade una extensión .fantom. En folders donde Fantom cifra los archivos, también será creada una nota de rescate llamada DECRYPT_YOUR_FILES.HTML.

"(La nota de rescate) dirá que podría ser posible recuperar la información sólo si se compra la contraseña a los cibercriminales", explicó el investigador. "Se encontrarán las instrucciones para enviar un correo a fantomd12@yandex.ru o fantom12@techemail.com para que pueda recibir instrucciones de pago. También se advierte que no intente restablecer los archivos, diciendo que ello podría destruir su información por completo".

Desafortunadamente, no es garantía pagar el rescate. Una de cada cinco organizaciones que pagaron durante el secuestro de información en los últimos dos años no recuperaron su información, de acuerdo con la más reciente investigación de Trend Micro. Sus hallazgos añadieron más peso al argumento de que las organizaciones no deberían pagar el rescate, aunque dos tercios (65%) de los encuestados dijeron que sí lo habían hecho.

Los casos de ransomware están en aumento. Casi la mitad (44%) de los encuestados dijeron que habían sido infectados al menos una vez en los últimos 24 meses; 27% de los casos habían sido atacados más de una vez.