Miles de equipos infectados con nueva variante de ransomware en China

Una nueva variante de malware ha sido descubierta en China; este programa malicioso ha infectado más de 100 mil equipos en menos de una semana

Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan que una nueva variante de ransomware se está propagando rápidamente en China. Hasta el momento, la infección ya ha alcanzado a más de 100 mil computadoras durante los últimos cuatro días, debido al ataque a una cadena de suministro; el número de equipos infectados sigue incrementando a cada momento.

Lo que más ha llamado la atención de la comunidad de la ciberseguridad es que, a diferencia del resto de malwares de esta clase, esta nueva variante no exige un pago de rescate en Bitcoin. En su lugar, los hackers exigen a las víctimas un pago por 110 yenes (cerca de 16 dólares), pago que debe ser realizada a través de WeChat Pay, función para realizar transacciones a través del servicio de mensajería más utilizado en China.

Robo de contraseñas

Hasta el momento las evidencias indican que este programa malicioso solamente ha afectado a usuarios en China, a diferencia de brotes similares, como WannaCryNotPetya. Además, este malware parece contar con una función adicional para el robo de contraseñas usadas en servicios como Alipay, Taobao, Tmall, AliWangWang y QQ. Al parecer el ransomware roba las credenciales de acceso a estas plataformas y las envía a un servidor remoto.

Según reportes de una firma de forense digital establecida en China, los operadores de esta campaña consiguieron desplegar su ataque inyectando código malicioso en el software de programación EasyLanguage, utilizado por la mayoría de los desarrolladores de aplicaciones en China.

Este programa modificado con fines perjudiciales fue pensado para inyectar el código del ransomware en cada aplicación y producto de software compilado a través de EasyLanguage, con lo que el virus se propagó de manera increíblemente rápida.

Más de 100 mil usuarios en China que instalaron cualquiera de los desarrollos infectados se encuentran ahora en una situación comprometedora. Esta cepa de ransomware ha demostrado ser capaz de cifrar todos los archivos del sistema infectado, con excepción de archivos con extensión gif, exe y tmp.

Firmas digitales robadas

Para evitar ser detectados por las soluciones antivirus, los hackers firmaron el código malicioso con una firma digital aparentemente confiable de Tencent Technologies, además tratan de no encriptar los archivos en directorios específicos, como Tencent Games, League of Legends, tmp, rtl y program.

Según expertos en forense digital, una vez que el ransomware encripta los archivos del usuario, aparece una nota exigiendo al usuario que realice el pago de 110 yenes a la cuenta de WeChat vinculada al software malicioso. Los atacantes mencionan que el usuario sólo tiene un plazo de tres días para realizar el pago y recibir las claves para recuperar sus archivos. Si el rescate no es cubierto en el tiempo marcado por los atacantes, el programa comienza un proceso automático de eliminación de la clave de cifrado desde un servidor remoto.

Según la evidencia recolectada, la nota de rescate menciona que los archivos han sido cifrados utilizando el algoritmo de cifrado DES, pero en realidad, los datos se cifran utilizando un cifrado XOR, uno mucho menos seguro y que almacena una copia de la clave de cifrado en el sistema de la víctima en la siguiente ubicación:

%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg

Una herramienta para eliminar el cifrado ya se encuentra en desarrollo gracias a esta información.  Además, después de recibir los reportes de esta campaña de ataques, WeChat suspendió la cuenta en la que los atacantes se encontraban recibiendo el pago de rescate.