Fortnite es uno de los juegos en línea con más usuarios en la actualidad, superando los 250 millones de jugadores en todo el mundo. Estas cifras han comenzado a llamar la atención de los hackers que buscan aprovecharse de los jugadores desprevenidos. Expertos en forense digital han reportado la presencia de un ransomware, conocido como Syrk, cuyos operadores hacen pasar por una herramienta de hacking para el juego.
Los actores maliciosos anuncian este ransomware como un “aimbot”, herramienta que sirve para apuntar de forma automática contra otros jugadores, aumentando la precisión de los disparos. En realidad, quienes descargan este malware sufren el bloqueo de sus máquinas, posteriormente la víctima recibe un mensaje exigiendo un rescate. De no responder a la exigencia de los hackers, los archivos de la víctima son eliminados pocas horas después de que ocurre la infección.
Expertos en forense digital de la firma de seguridad Cyren han reportado que los operadores de esta campaña están utilizando el ransomware Hidden-Cry, cambiando únicamente la extensión de los archivos cifrados a .syrk. “El código fuente de Hidden-Cry fue publicado en GitHub el año pasado, por lo que es muy fácil de encontrar. Creemos que los hackers usan foros de jugadores de Fortnite para publicar los enlaces que dirigen a los usuarios al ransomware”, mencionaron los expertos.
Después de la ejecución de la carga útil, el ransomware se conecta a un servidor de comando y control para inhabilitar Windows Defender y UAC para cifrar múltiples tipos de archivos, incluyendo extensiones como .gif, .sln, .png, .rar, .zip, .mp4, .mp4, .txt, .ppt, entre muchas otras extensiones. Los hackers también pueden monitorear Taskmgr, Procmon64, ProcessHacker, entre muchos otros procesos.
Posteriormente, los hackers establecerán un procedimiento para eliminar los archivos cifrados cada dos horas, priorizando el orden siguiente: %userprofile%\Pictures; %userprofile%\Desktop; and %userprofile%. Los hackers incluso podrían infectar unidades de almacenamiento externo de las víctimas usando LimeUSB_Csharp.exe.
Para los especialistas en forense digital, era cuestión de tiempo para que los hackers comenzaran a intentar este tipo de ataques. “Hay demasiados gamers activos en el mundo, por lo que las campañas de ingeniería social contra esta comunidad pueden resultar realmente lucrativas”, mencionan los expertos de la firma de seguridad Vectra. “Este nuevo enfoque disfraza el malware de una forma atractiva para los gamers, prometiendo ventajas en el juego competitivo”, agregan.
Afortunadamente no sólo hay malas noticias. Los expertos que revelaron esta campaña afirman que es posible recuperar los archivos cifrados con Syrk sin tener que pagar a los hackers.
“Existe un archivo (dh35s3h8d69s3b1k.exe), que se encuentra como un recurso integrado en el malware y que puede funcionar como herramienta para eliminar el cifrado de Hidden-Cry”, mencionan los expertos. “Con este archivo es posible crear un script de PowerShell para recuperar los archivos comprometidos.
En anteriores ocasiones ya se han reportado campañas maliciosas dirigidas contra los millones de miembros de la comunidad gamer. Anteriormente, especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) reportaron una campaña de ataques del malware conocido como MonsterInstall, un troyano distribuido a través de múltiples foros de video juegos, engañando a los usuarios de forma similar a la usada por los operadores del ransomware Syrk. “En el caso de MonsterInstall, cuando las víctimas descargan lo que parece ser un hack para el juego, en realidad se descarga un archivo 7zip que, además de los archivos del truco, actúa como un software de minado de criptomoneda; en algunos casos los hackers incluso logran secuestrar sesiones, inyectar malware, entre otras actividades”, mencionan los expertos.
Se recomienda a los jugadores de Fortnite y juegos similares, como PUBG, no instalar esta clase de herramientas en sus dispositivos pues, además de que estos ‘hacks’ están prohibidos por los desarrolladores de los juegos, exponen la integridad de sus sistemas a infecciones de malware, entre otros riesgos de ciberseguridad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
