El ransomware es una de las peores amenazas informáticas que se han visto en la historia de Internet. Este tipo de amenazas, muy difíciles de detectar incluso por los antivirus más avanzados, cifran todos los datos de los usuarios y, posteriormente, pide el pago de un rescate a cambio de una clave que, con suerte, permite recuperar los datos. Cada poco tiempo aparecen nuevas variantes, cada vez más complejas y peligrosas, de este tipo de malware, siendo una de las más recientes Magniber, un ransomware que, según parece, quiere ser el sucesor del peligroso Cerber.
Este ransomware ha sido detectado recientemente por un investigador de seguridad gracias a que en pocas horas, un gran número de usuarios empezó a subir a su identificador de ransomware archivos cifrados y una nota que, hasta la fecha, no se había registrado. Tras investigar sobre este ransomware, los expertos de seguridad han podido identificar multitud de variedades con el ransomware Cerber (especialmente en el método de pago) y, además, el uso del Magnitude Exploit Kit como vía de infección.
Magniber nace de la unión de este kit de exploits con el ransomware (Magnitude+Cerber), por lo que la principal vía de distribución de esta amenaza es a través de una vulnerabilidad en Internet Explorer, una de las más utilizadas por este kit de exploits. Por ello, este nuevo ransomware puede ser considerado como una versión mejorada de Cerber, ransomware desde el que hace tiempo no se ve movimiento, aunque, a pesar de los esfuerzos de los piratas informáticos por hacerlo indescifrable, no lo han conseguido.
Como podemos ver a continuación, las webs de pago de ambos ransomware guardan una considerable similitud.
Por el momento, este ransomware solo funciona si el Windows está en coreano, aunque es muy fácil que, viendo el éxito de esta campaña maliciosa, los piratas informáticos lancen una variable que afecta a todos los usuarios del mundo por igual. Además, al haber encontrado debilidades en el algoritmo, es probable incluso que se refuerce este para evitar la recuperación gratuita de los datos.
Este ransomware utiliza las extensiones “.ihsdj y .kgpvwnr” para identificar a los archivos cifrados, y guarda una nota de rescate en el sistema de las víctimas con las instrucciones a seguir para recuperar los datos (que son, como siempre, entrar en la red Tor y realizar el pago).
Este ransomware pide el pago de 0.2 Bitcoin (unos 1000 dólares aproximadamente) para poder recuperar la clave de cifrado, precio que se duplicará al cabo de 5 días si no hemos pagado aún. De todas formas, si caemos víctimas de este malware, no debemos pagar bajo ningún concepto, ya que los investigadores han encontrado debilidades en su código que van a permitir descifrar los datos de forma gratuita.
Cómo podemos protegernos del ransomware Magniber
Lo primero que debemos tener en cuenta es que, para evitar que el exploit pueda infectar nuestro sistema, debemos tener nuestro sistema operativo actualizadocon todos los parches de seguridad, parches que solucionan, entre otras muchas vulnerabilidades, la de Internet Explorer que explota Magnitude.
Además, no debemos olvidarnos de las recomendaciones básicas para protegernos de este tipo de malware, como, por ejemplo, la importancia de las copias de seguridad, evitar descargar y ejecutar archivos que vienen adjuntos en el correo electrónico (especialmente si no son de confianza) y escanear las descargas con un antivirus o una plataforma como VirusTotal.
Como podemos ver, ya no se ven tantas amenazas de ransomware como hace unos meses (ahora la moda entre los piratas informáticos es el minado de criptomonedas), pero este tipo de amenazas siguen siendo de las más lucrativas y peligrosas, por lo que, aunque se hayan reducido los ataques informáticos, aún están muy lejos de desaparecer.
Fuente:https://www.redeszone.net/2017/10/19/magniber-ransomware/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad