Unnam3d, el ransomware que exige tarjetas de regalo de Amazon como rescate

Especialistas del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS) reportan el hallazgo de una nueva variante de ransomware llamada Unnam3d; acorde a los reportes, este malware mueve los archivos de la víctima a archivos RAR protegidos y, como rasgo característico, los operadores exigen tarjetas de regalo de Amazon como rescate.

El malware fue detectado por primera vez después de que un usuario cargara una muestra de un archivo infectado a la plataforma Crypto Sheriff buscando una herramienta para recuperar los archivos perdidos.

Acorde a los expertos del curso de ethical hacking el ransomware es distribuido principalmente vía email. Una vez en el sistema de la víctima, el software malicioso extrae un ejecutable WinRar.exe en la carpeta %Temp%; posteriormente, se ejecuta un comando para mover los archivos de la víctima almacenados en carpetas como Imágenes. Documentos, Escritorio, etc, a un directorio específico en forma de archivos protegidos con contraseña.

Finalmente, se muestra a la víctima la nota de rescate en la que se exige el envío de una tarjeta de regalo de Amazon (con valor de 50 dólares) a cambio de recibir la contraseña del archivo protegido.

Los especialistas del curso de ethical hacking creen que los desarrolladores de Unnam3d han estado operando esta campaña de ataques desde los últimos días de marzo, logrando enviar el malware a cerca de 300 mil direcciones email. Según los reportes, Unnam3d se encuentra oculto en supuestos mensajes de Adobe que piden al usuario actualizar su Flash Player; al hacer clic en el botón “Actualizar”, se desencadena la descarga y ejecución del ransomware.

Este no es el primer caso en que un software malicioso exige el envío de tarjetas de regalo a cambio de liberar archivos cifrados. En 2017, expertos en ciberseguridad detectaron una campaña de ataque dedicada a bloquear el acceso a Mobile Safari hasta que las víctimas enviaran tarjetas de regalo de iTunes. Asimismo, esta no es la primera vez que un software malicioso se hace pasar por una actualización de software legítimo, como Adobe; estas falsas actualizaciones de Adobe también han sido utilizadas por operadores de campañas de cryptojacking.