Los investigadores de Heimdal Security han descubierto un nuevo tipo de ransomware que asegura que el dinero de los rescates irá a parar a niños en dificultades. El espíritu de Robin Hood llega al malware.
Todos estamos familiarizados con la historia de Robin Hood, el ladrón que robaba a los ricos para dárselo a los pobres. Sus hazañas han inspirado todo tipo de manifestaciones artísticas, y hasta han logrado llegar a contagiar a la comunidad de la seguridad informática. No, no es broma. Según podemos leer en Motherboard, unos ciberciminales aseguran que gastarán el dinero que consigan en obras de caridad. No es broma, según se ha publicado este es el leit motiv que un grupo de Hackers está llevando como bandera durante su última campaña. ¿Qué hay de cierto en ello? Probablemente nada, tal y como detallaremos más adelante.
CryptMix, el ransomware protagonista de la campaña
Al parecer, todo este entramado forma parte de una campaña de ransomware. Ya hemos hablado en Malavida en otras ocasiones de cómo funciona esta clase demalware, pero para quienes no lo sepan podemos decir grosso modo que se trata de un tipo de virus que “secuestra” el ordenador de la víctima y le obliga a pagar un “rescate” para recuperarlo. Si el usuario no dispone de una copia de seguridad de sus archivos, entonces tendrá que desembolsar lo que el criminal le pida.
Hay que reconocer que la estrategia de este grupo para convencer a las víctimas de que paguen el rescate es simplemente brillante: decir a los usuarios infectados que piensen en los niños:
Tu dinero se gastará en obras de caridad para los niños. Esto significa que conseguirás participar en el proceso.
Esto se puede leer en la nota de rescate que se ha enviado a las víctimas de CryptMix, que ha sido descubierto por los investigadores de Heimdal Security. Según esta empresa, la manipulación psicológica siempre ha formado parte de las estrategias de quienes inician campañas de ransomware para recaudar dinero:
¡Muchos niños recibirán regalos y ayuda médica! ¡Confiamos en que eres una persona amable y honesta! ¡Muchas gracias! ¡Te deseamos lo mejor! ¡Tu nombre estará en la lista de los donantes principales y permanecerá en la historia de la caridad!
Como si ya no fuese bastante malo que secuestrasen los datos del usuario y pusieran un límite de tiempo para realizar el pago (o si no el precio del rescate aumentará al doble),es bastante rastrero jugar con el tema de la caridad. La parte de la “persona amable y honesta” es echar sal a la herida, suponiendo que la víctima no tenga otra opción más que pagar la cantidad demandada. Cantidad que, por cierto, son 5 bitcoins, unos 1.926 euros.
Otra parte de la nota de rescate de este grupo que se hace llamar Charity Team que resulta bastante bizarra es en la que prometen soporte técnico gratuito durante tres años a la víctima. Madre mía.
Según se ha publicado, se ha intentado contactar con este grupo para saber cuándo donarán el dinero y ha sido imposible. Es imposible verificar si lo que aseguran es cierto. Ya sabemos que existen hackers éticos que tienen buenas intenciones, pero no extorsionan a víctimas inocentes para recibir dinero a cambio. Lo más seguro es que se trate de otra de las muchas estafas que hay circulando por Internet.
¿Cómo funciona CryptMix?
Según Heimdal Security, CryptMix es una variante de CryptoWall 4 con componentes de CryptXXX. Existe una herramienta para averiguar la clave de CryptXXX, pero los creadores de este ransomware han solucionado los errores que permitían usarla, con lo que es totalmente inútil.
La infección se produce a través de correos electrónicos basura y ataques drive-by, que se han convertido en una norma en la industria del ransomware últimamente. Este tipo de ataques se usan para propagar código malicioso de forma masiva a través de descargas que se realizan en distintos sitios web, por explicarlo a grandes rasgos.
Las instrucciones que explican los métodos de pago apuntan a dos direcciones de correo electrónico. CryptMix puede cifrar prácticamente cualquier extensión de archivo que encuentre en un ordenador, sus creadores han intentado cubrir todos los escenarios posibles. No sólo afectará al disco duro local, sino que también tendrá efecto sobre los discos duros alojados en red.
Fuente:https://www.malavida.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
