Expertos de seguridad han detectado una nueva amenaza de
ransomware que se está distribuyendo a través de Internet a una velocidad
preocupante. Esta nueva amenaza, de origen ruso, recibe el nombre de Cerber y
llega con una característica no vista hasta ahora: habla. Esto se debe a que
este ransomware cuenta con un módulo TTS (text-to-speech) que permite leer la
nota de rescate a los usuarios afectados.
Según los expertos de seguridad, el ransomware ha sido programado por un grupo de piratas informáticos rusos, sin embargo, estos lo distribuyen como un RaaS (Ransomware as a Service), es decir, ellos permiten a otros piratas informáticos utilizar su ransomware recibiendo, a cambio, un porcentaje de los beneficios cuando las víctimas pagan el rescate.
Por el momento no se conocen con seguridad las técnicas
que utilizan los piratas informáticos para distribuir el malware e infectar a
sus víctimas (aunque se cree que se hace mediante campañas de spam y phishing),
sin embargo, sí se ha podido ver cómo los piratas informáticos han incluido en
el fichero de configuración del ransomware instrucciones claras de que su
ransomware no debe utilizarse para infectar a ni un solo usuario de países
soviéticos. En este fichero podemos ver también la gran cantidad de formatos
que busca y cifra, por ejemplo, documentos, imágenes, archivos comprimidos,
audio, vídeo, etc.
Cómo funciona Cerber, el ransomware
que habla
1.
El
funcionamiento de Cerber es, también, algo diferente de lo visto hasta ahora.
Cuando este malware infecta a los usuarios, automáticamente muestra un error en
el sistema que obliga al usuario a reiniciar el equipo. El malware fuerza a Windows
a reiniciar en modo a prueba de fallos con permisos de red. Dicho modo del
sistema es utilizado para instalarse de forma persistente en el equipo para,
posteriormente, volver a reiniciar el equipo en modo normal, empezando así el
proceso de cifrado.
2.
Cuando
este ransomware termina de cifrar los datos de los usuarios, genera en cada
carpeta 3 tipos de ficheros diferentes: un documento de texto, un HTML y un
fichero VBS con las instrucciones de cifrado. Cuando el usuario ejecuta este
último, el sistema operativo carga las librerías TTS y el ransomware lee la
nota de rescate con lo que debe hacer para recuperar los datos.
3.
El
rescate que pide Cerber es de 1,24 Bitcoin (alrededor de 475 euros), los cuales
deben pagarse a una cuenta a través de la Deep Web. Por el momento no hay
vulnerabilidades en este ransomware, aunque los investigadores de seguridad ya
se encuentran trabajando en encontrar alguna que permita a los usuarios
recuperar los archivos de forma gratuita.
Fuente: Redeszone.net