Hemos visto fallos bastante curiosos entre los creadores de amenazas informáticas, pero hay algunos que se llevan la palma. En esta ocasión, el o los propietarios del ransomware SNSLocker la han liado con las credenciales de acceso al servidor de control, distribuyéndose haciendo en el propio código de la amenaza y sin ningún tipo de protección.
Los investigadores pertenecientes a la compañía de seguridad Trend Micro han sido los encargados de detectar semejante error que ni siquiera se puede asociar a la programación, permitiendo a estos no solo acceder al contenido que posee dicho equipo, sino recuperar las claves de cifrado necesarias para descifrar los archivos de los equipos afectados.
Los expertos de la compañía aseguran que los responsables de la amenaza no son muy expertos en estos temas, ya que se han valido de un servidor que es accesible de forma pública y que por lo tanto se puede dejar fuera de servicio con suma facilidad.
La amenaza apareció a mediados del pasado mes y hay que decir que su presencia en la red no ha sido muy notoria, afectando en la actualidad a solo unos pocos miles de usuarios, sobre todo después de comprobar el número de claves almacenadas.
A pesar de ser nuevo, el funcionamiento y los métodos de cifrados con los mismos que en el caso de las otras amenazas, ofreciendo el doble cifrado AES-RSA, mostrando al usuario la pantalla característica que informa del bloqueo de los archivos y solicita 300 dólares, que viene a ser la cantidad media habitual que este tipo de amenazas solicitan para llevar a cabo el descifrado de la información afectada.
SNSLocker está codificado en .NET Framework 2.0
Como si se tratase del mercado de smartphones, hoy en día resulta muy complicado entrar en el mundo de los ransomware, sobre todo porque ya existe un número bastante elevado. A diferencia de otras amenazas, esta se encuentra codificada en .NET Framework.
Con respecto a los usuarios afectados, hay que decir que el porcentaje mayor abarca a usuarios residentes en territorio estadounidense. A pesar de todo, ya se sabe el potencial que posee Internet, y esto ha permitido que a día de hoy una gran cantidad de países posean al menos alguna infección, número que se puede ver multiplicado en las próximas semanas, siempre y cuando sus propietarios lleven a cabo una modificación del código para evitar el acceso a las claves que se han utilizado para cifrar los archivos.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad