Aunque parezca surrealista, cada día tenemos que hablar de una nueva amenaza que está disponible. El ransomware Rokku es una novedad para la inmensa mayoría de usuarios y ahora sus propietarios lo han actualizado para que sea mucho más fácil realizar el proceso de pago.
Apareció a comienzos de año y por aquel entonces su difusión no fue significativa. Sin embargo, y al igual que sucede con otras amenazas, sus propietarios han decidido dar el salto y han comenzado la difusión masiva de esta amenaza que cifra los archivos añadiéndoles como extensión .rokku (de ahí el nombre con el que s esa bautizado). El modus operandi es el mismo que el resto de amenazas que buscan recaudar dinero a costa de los datos de los usuarios y la desesperación de los mismos.
Por este motivo, se distribuye haciendo uso de correos electrónicos spam y una ve el usuario ha descargado el archivo ejecutable, si este es ejecutado, comenzará el proceso de cifrado de los archivos haciendo uso del algoritmo RSA de 512 bits.
En la mayoría de infecciones existe siempre algún tipo de anécdota, y en esta ocasión se encuentra en lo referido a la cantidad de dinero que se pide al usuario, que es de 100 dólares. Investigadores han conseguido crackear la clave utilizando el servicio en la nube de Amazon empleando 107 dólares en computación y unas siete horas. A pesar de todo no se recomienda bajo ningún concepto el pago de la cantidad solicitada para evitar en un futuro la actualización de esta amenaza y la aparición de otras.
Aunque el cifrado pueda parecer débil con respecto a otro tipo de amenazas, la realidad es que el funcionamiento es correcto, sobre todo si tenemos en cuenta los problemas que se han detectado en otras, como por ejemplo la pérdida de la clave de cifrado o el envío de esta al servidor como texto plano.
Rokku elimina las copias de seguridad y utiliza códigos QR
Se está convirtiendo en una constante y esta amenaza lo confirma. Los ciberdelincuentes se han percatado de que las copias de seguridad comienza a arruinar el negocio y es por ello que buscan los volúmenes donde está este tipo de recurso para proceder a su borrado y así eliminar esta posibilidad.
Como ayuda para el usuario, los propietarios del ransomware han creado una serie de códigos QR que aportan ayuda para completar el proceso de pago de forma satisfactoria, confirmándose que cada vez resulta más común la utilización de ingeniería social en este tipo de infecciones.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
