Nueva semana y de nuevo un nuevo ransomware del que tenemos que hablar. Los ciberdelincuentes están distribuyendo Bart ayudándose de correos electrónicos spam. No es casualidad que esto coincida con la vuelta de Locky y su botnet, ya que este posee una gran cantidad de similitudes con respecto a su hermano mayor.
De entrada hay que decir que no es igual de sofisticado que su hermano mayor, pero sí que permite llevar a cabo un daño similar a este. Ni que decir tiene que su funcionamiento es idéntico al del resto de amenazas del mismo tiempo, llevando a cabo el cifrado de la información y solicitando posteriormente el pago de una suma de dinero para proceder al desbloqueo de esta.
Aunque comparta cosas con respecto a s hermano mayor, hay que decir que la forma de difusión dista mucho. Sí que es verdad que utiliza el correo electrónico para llevar a cabo la distribución y que el usuario se encuentra con un archivo comprimido como adjunto. Sin embargo, a partir de este momento todo cambia, ya que de entrada no se produce la descarga directa del ejecutable sino de un archivo JavaScript que a su vez servirá para descargar RockLoader. Es decir, se realiza instala en el sistema un software intermedio que servirá para en primer lugar comprobar el sistema y la existencia de herramientas de seguridad. Una vez que se ha comprobado esto se produce la descarga de la amenaza que nos ocupa, buscando de alguna forma evitar que el ransomware Bart sea objeto de análisis.
Bart posee modo offline
Todas las amenazas de este tipo tienen la necesidad de estar en contacto con un servidor de control para proceder al cifrado de los archivos y el posterior envío de la clave. Sin embargo, en la amenaza que nos ocupa esto no funciona así y no existe ningún tipo de negociado con el servidor de control para realizar el cifrado de la información, configurándose como un proceso que se lleva a cabo de forma local.
Otra diferencia con respecto a Locky es su cifrado, ya que este no es muy robusto. Sin embargo, la cantidad de dinero demandada para recuperar el acceso a los archivos es de nada más y nada menos que 1.500 dólares, o lo que es lo mismo 3 Bitcoins.
Por el momento los usuarios afectados se encuentran en Alemania, Polonia, Reino Unidos y Francia, pero ya se sabe que con Internet como aliado de los ciberdelincuentes el número de equipos afectados aumentará en los próximos días.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad