Expertos en ciberseguridad reportan la detección de Sarbloh, una nueva variante de ransomware que cifra los sistemas infectados y envía mensajes de apoyo a las protestas llevadas a cabo por miles de agricultores en India.
En 2020, el gobierno indio promulgó las conocidas como “Leyes de Agricultura”, con la intención de modernizar los procesos agrícolas del país. No obstante, los productores creen que estas nuevas leyes dañarán sus medios de vida y dificultarán la generación de ingresos, pues se ha eliminado cualquier restricción para la compra y venta de los productos agrícolas.
Este desolador panorama ha llevado a miles de agricultores de India a manifestarse en los territorios que rodean Nueva Delhi desde noviembre de 2020.
Los reportes, elaborados por firmas como Malwarebytes y Cyble detallan la aparición de este malware de cifrado, distribuido a través de documentos de Microsoft Office maliciosos que incluyen mensajes de apoyo para los agricultores manifestantes. Los investigadores aún desconocen si estos archivos se envían a través de emails de phishing o si se alojan en un sitio web comprometido, aunque se distinguen por solicitar a los usuarios que habiliten el contenido para acceder al documento completo.
Al habilitar el contenido, las macros descargarán un archivo identificado como putty.exe usando bitsadmin.exe en la carpeta de documentos para después ejecutarse. Una vez ejecutado, el ransomware cifrará el sistema y agregará la extensión .sarbloh a cada archivo infectado.
Al completar este proceso los usuarios afectados encontrarán la nota de rescate correspondiente al ataque (README_SARBLOH.txt), la cual también incluye un mensaje de apoyo a los agricultores indios. Además de afirmar que están empleando cifrado de grado militar, la nota de rescate incluye un postulado sobre la Ley de Agricultura: “El pueblo de India ha sido durante mucho tiempo el rostro de la opresión. Hoy los poderosos vienen por las gargantas de los granjeros hindúes, sij y musulmanes tratando de quitarles su sustento. No tendrán éxito en sus siniestros caminos”, agrega el documento.
El ransomware parece llevar el nombre del ‘Sarbloh Granth’, un libro de escrituras relacionado con una de las tantas religiones practicadas en India.
Michael Gillespie, especialista en ransomware y creador de la plataforma especializada No More Ransom, Sarbloh está basado en un ransomware de código abierto conocido como KhalsaCrypt, para el que de momento no existen herramientas de descifrado, por lo que las víctimas de esta infección deberán recurrir a sus sistemas de respaldo o, en un caso crítico, a pagar el rescate.
La buena noticia es que Gillespie asegura que a diferencia de otras variantes de cifrado, los operadores de Sarbloh no eliminan las instantáneas de volumen, lo que brinda la oportunidad de restablecer los sistemas a la normalidad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
