Desde hace tiempo, el ransomware se ha convertido en el tipo de malware más peligroso de la red. Cuando este malware infecta un ordenador automáticamente comienza a cifrar todos los datos de la víctima de manera que, cuando finaliza, pide el pago de un recate a cambio de la clave privada utilizada en el cifrado o, de lo contrario, los datos se perderán para siempre. Cada poco tiempo, estas amenazas se actualizan para ser más complicadas de detectar y de descifrar, sin embargo, en los últimos meses también hemos podido ver cómo el ransomware pasa de ser una amenaza única a cubrir más amenazas potenciales.
Expertos de seguridad han detectado una nueva versión del ransomware CryptXXX, concretamente la 3.100, que llega con un gran número de cambios y “mejoras” de manera que ahora es más eficaz a la hora de cifrar los archivos, difícil de detectar y, más preocupante, incluyo un módulo capaz de volcar las contraseñas de diferentes aplicaciones y enviarlas a un servidor controlado por los propios piratas informáticos.
Este nuevo módulo espía, llamado “StillerX“, ha sido diseñado especialmente para robar contraseñas de bases de datos internas de un gran número de programas de uso diario. Mientras el ransomware hace de las suyas, este módulo extrae las contraseñas, tanto cifradas como en texto plano, de los programas compatibles y las envía automáticamente al servidor controlado por los piratas informáticos, donde se almacenan para procesarlas más adelante.
Este módulo es capaz de recuperar las contraseñas de los principales navegadores web, gestores de descargas, clientes de correo electrónico, clientes FTP, plataformas de mensajería, aplicaciones de poker online, VPN y todos los credenciales almacenados en el Administrador de Credenciales de Microsoft.
Además de las propias librerías del ransomware, el módulo espía depende de “stiller.dll,” “stillerx.dll” y “stillerzzz.dll”.
Cambios internos en CryptXXX muestran un desarrollo más maduro y preocupante
Además del módulo de robo de datos, esta última versión del ransomware ha llegado con otros muchos cambios que realmente preocupan a los expertos de seguridad. El primero de ellos es el cambio de la ventana de rescate, que hasta ahora utilizaba la de CryptoWall, como otros muchos, por una nueva propia.
Además, todos los algoritmos de cifrado han cambiado, dejando las herramientas que permitían el descifrado de los datos de forma gratuita obsoletas, no funcionando con los datos cifrados por CryptXXX 3.100.
Por último, una función también preocupante es que este nuevo ransomware es capaz de encontrar otros equipos conectados a la red e infectarlos, de forma muy similar a como trabajan los gusanos que en los años 90 hicieron temblar las redes y que a día de hoy aún sigue alguno activo imposible de eliminar.
Está claro que el ransomware está cambiando, y para mal. Lo que empezó siendo como una simple aplicación que bloqueaba la pantalla y engañaba a los usuarios para pagar una multa se está convirtiendo en una amenaza de lo más compleja que no solo es capaz de dejar al usuario sin sus datos más queridos, sino que también es capaz de robar todas sus contraseñas para, posteriormente, utilizarlas o venderlas.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
