Nueva semana y de nuevo un nuevo ransomware del que tenemos que
hablar. Los ciberdelincuentes están distribuyendo Bart ayudándose de correos
electrónicos spam. No es casualidad que esto coincida con la vuelta de Locky y
su botnet, ya que este posee una gran cantidad de similitudes con respecto a su
hermano mayor.
De entrada hay que decir que no es igual de sofisticado que su hermano mayor, pero sí que permite llevar a cabo un daño similar a este. Ni que decir tiene que su funcionamiento es idéntico al del resto de amenazas del mismo tiempo, llevando a cabo el cifrado de la información y solicitando posteriormente el pago de una suma de dinero para proceder al desbloqueo de esta.
Aunque comparta cosas con respecto a s hermano mayor, hay que decir
que la forma de difusión dista mucho. Sí que es verdad que utiliza el correo
electrónico para llevar a cabo la distribución y que el usuario se encuentra
con un archivo comprimido como adjunto. Sin embargo, a partir de este momento
todo cambia, ya que de entrada no se produce la descarga directa del ejecutable
sino de un archivo JavaScript que a su vez servirá para descargar RockLoader.
Es decir, se realiza instala en el sistema un software intermedio que servirá
para en primer lugar comprobar el sistema y la existencia de herramientas de
seguridad. Una vez que se ha comprobado esto se produce la descarga de la
amenaza que nos ocupa, buscando de alguna forma evitar que el ransomware Bart
sea objeto de análisis.
Bart posee modo offline
· Todas
las amenazas de este tipo tienen la necesidad de estar en contacto con un
servidor de control para proceder al cifrado de los archivos y el posterior
envío de la clave. Sin embargo, en la amenaza que nos ocupa esto no funciona
así y no existe ningún tipo de negociado con el servidor de control para
realizar el cifrado de la información, configurándose como un proceso que se
lleva a cabo de forma local.
· Otra
diferencia con respecto a Locky es su cifrado, ya que este no es muy robusto.
Sin embargo, la cantidad de dinero demandada para recuperar el acceso a los
archivos es de nada más y nada menos que 1.500 dólares, o lo que es lo mismo 3
Bitcoins.
· Por
el momento los usuarios afectados se encuentran en Alemania, Polonia, Reino
Unidos y Francia, pero ya se sabe que con Internet como aliado de los
ciberdelincuentes el número de equipos afectados aumentará en los próximos
días.
Fuente: Softpedia