Especialistas en forense digital reportan la aparición de Buran, un nuevo esquema para que cualquier usuario pueda adquirir todo lo necesario para desplegar un ataque de ransomware (práctica conocida como ransomware-as-a-service).
Acorde a los reportes, este ransomware es capaz de explotar vulnerabilidades conocidas en dispositivos con sistema operativo Windows, e incluso es posible encontrarlo por un precio especial con motivo del Buen Fin, pues los operadores del malware desean esparcirlo a cualquier implementación posible.
Este ransomware ha estado activo por al menos medio año, afirman los expertos en forense digital. Además, a partir de algunas muestras recolectadas se ha comprobado que se trata de una variante creada a partir del código de VegaLocker, una antigua cepa de ransomware.
Los operadores de este ransomware han sido detectados activamente en múltiples foros de hacking en idioma ruso, asegurando que Buran cuenta con avanzadas características como cifrado sin conexión a Internet, funcionalidades flexibles e incluso un servicio de soporte las 24 horas.
Además de estas características, los expertos en forense digtial de McAfee aseguran que algo muy atractivo para los interesados es el precio de Buran. Los operadores del malware exigen un 25% de los rescates obtenidos por los atacantes, a diferencia del 30% o incluso 40% que otras plataformas de ransomware-as-a-service exigen. Por si fuera poco, los desarrolladores de Buran también se declaran dispuestos a negociar su porcentaje de ganancias con cualquiera que esté en condiciones de desplegar una infección a gran escala.
Todavía no hay indicios sobre los probables operadores de Buran, aunque un informe de la firma de seguridad Bromium menciona que un punto inicia de investigación se relaciona con un usuario identificado como “buransupport” en diversos foros de hacking.
Respecto al funcionamiento de Buran, especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que Buran infecta los sistemas Windows objetivo después de explotar una vulnerabilidad de ejecución remota de código (CVE-2018-8174).
En sus anuncios, los hackers aseguran que este ransomware es capaz de infectar cualquier versión del SO Windows 10, no obstante, las pruebas realizadas por el equipo de seguridad de McAffee demostraron que Buran es simplemente incompatible con algunas versiones del SO, especialmente Windows XP.
Hasta ahora se han detectado dos versiones diferentes del malware, ambas escritas en Delphi; acorde a los reportes, los hackers crearon las dos versiones para esquivar las medidas de protección de un sistema objetivo, así como para evitar que algún investigador pueda realizar ingeniería inversa en estas variantes.
Otra característica fundamental de este ransomware es su capacidad de detección si un dispositivo cuenta con conexión a alguna red gubernamental. En caso de encontrar un dispositivo conectado a redes del gobierno de Rusia, Bielorrusia o Ucrania, el ataque se detiene automáticamente, aseguran los expertos.
La práctica del ransomware-as-a-service ha crecido significativamente desde hace un par de años, con la variante conocida como GandCrab siendo uno de los primeros y más populares servicios de esta clase, aunque hace apenas unas semanas sus operadores anunciaron que dejarían de actualizar sus versiones del malware de cifrado.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
