Anatova: El nuevo ransomware que está infectando equipos en todo el mundo

Este nuevo y sofisticado software malicioso es capaz de eludir las mejores medidas de seguridad

Una nueva familia de ransomware descubierta a comienzos del 2019 ha generado alarma entre la comunidad de la ciberseguridad debido a sus aparentes funciones modulares y a sus desarrolladas técnicas de codificación, reportan especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética. Los investigadores de McAffe han bautizado este ransomware como ‘Anatova’.

A pesar de que no ha pasado siquiera un mes desde que fue identificado, el ransomware Anatova ya ha infectado cientos de computadoras en todo el mundo, reportan los especialistas en seguridad en redes. Según la investigación, los países con más infecciones de Anatova hasta el momento son Estados Unidos, Alemania, Francia y Bélgica.

El experto en malware Alexandre Mundo afirma que Anatova se oculta utilizando el ícono de un juego o aplicación para que la víctima descargue el software malicioso. Si es descargado, instalado y ejecutado, Anatova es capaz de encriptar los archivos en la máquina comprometida, además de que puede encriptar archivos en redes compartidas, un escenario especialmente peligroso para las organizaciones más grandes.

Acorde a los especialistas en seguridad en redes, el ransomware Anatova utiliza el algoritmo Salsa20 para el cifrado, dejando de lado archivos de menos de 1 MB para atacar grandes empresas en una menor ventana de tiempo. El rescate que exigen los criminales consta de 10 unidades de criptomoneda Dash, cuyo valor se encuentra actualmente en alrededor de 700 dólares cada una.

En su informe, Mundo menciona: “Según lo que sabemos hasta ahora, los desarrolladores detrás de Anatova deben ser hackers altamente calificados; cada muestra del malware contiene una clave única propia, entre otras características que no se encuentran frecuentemente en las familias de ransomware.”

Los investigadores notaron que Anatova busca una marca con un valor capaz de activar la carga de dos archivos DLL adicionales. “Esto podría indicar que Anatova está preparado para ser modular, o podría ser un indicio de que los desarrolladores integrarán otras funciones al código en un futuro”, afirma Mundo.

Además, el ransomware esquiva el análisis a través de una serie de tácticas defensivas. Puede, por ejemplo, encriptar la mayoría de sus cadenas, usando múltiples claves de descifrado incrustadas en el archivo ejecutable. Incluso cuenta con una lista negra de usuarios, donde busca términos como ‘tester’, ‘malware’, o ‘analyst’; si Anatova encuentra términos similares en el nombre de usuario, simplemente no se ejecuta.

Finalmente, el ransomware es capaz de limpiar cualquier registro de la memoria de la máquina con objeto de evitar que se descargue información que ayude a desarrollar programas para eliminar la encriptación.

Los investigadores destacan que Anatova fue diseñado para no infectar dispositivos ubicados en los países de la Comunidad de Estados Independientes (CIS), además de algunos territorios en Asia; en ocasiones esto puede brindar indicios sobre los autores de un software malicioso, aunque no es una regla que se cumpla sin excepción.

(Visited 2,738,1 times)