En 2019, el resurgimiento del ransomware sigue en auge. Desde el principio del año, una auténtica letanía de empresas y organizaciones han sufrido a manos de esta modalidad de malware: ayuntamientos, fabricantes, hospitales, productores, infraestructuras críticas….
Aunque conocemos quiénes son las víctimas de estos ataques de ransomware, en muchos casos, se desconoce la variante de malware utilizada en los incidentes. Algunas excepciones incluyen RobbinHood, el ransomware utilizado en Baltimore y que fue detectado unos meses más tarde jactándose de sus éxitos; o LockerGoga, el ransomware que obligó a Norsk Hydro a desconectar 22.000 equipos en 40 países.
PureLocker: un nuevo ransomware con tácticas inusuales
Ahora conocemos otra variante de ransomware que está amenazando a organizaciones en todo el mundo. Se trata de PureLocker, un ransomware que se está utilizando en ataques dirigidos contra servidores de empresas, y que parece tener enlaces con notorios grupos cibercriminales.
Este malware, que cifra los servidores de sus víctimas para pedir un rescate, ha sido analizado por investigadores de Intezer e IBM X-Force. Lo llamaron PureLocker porque está escrito en el lenguaje de programación PureBasic. Esta elección de lenguaje es inusual, pero para los atacantes ofrece varias ventajas, como la dificultad que tienen los proveedores de ciberseguridad para generar firmas de detección fiables para software malicioso escrito en este lenguaje. Es más, PureBasic es fácilmente trasferible entre Windows, Linux y OS-X, lo cual facilita ataques a otras plataformas.
Servidores en la línea del fuego
Elegir como objetivo los servidores de sus víctimas podría ser una manera de sacar incluso más dinero. Los ataques contra los servidores muchas veces llevan a exigencias de rescates de cientos de miles de euros. Esto es debido a que las organizaciones suelen almacenar sus datos más importantes aquí, con lo cual es más probable que estén dispuestos a pagar cantidades más elevadas para recuperar estas informaciones tan críticas.
Aunque no tenemos datos sobre el número de víctimas de este ransomware, los investigadores de seguridad han confirmado que se trata de una campaña activa. Es más, parece que PureLocker se ofrece como un servicio. Se cree que este ‘ransomware-as-a-service’ es un servicio exclusivo que solo se ofrece a organizaciones cibercriminales que pueden pagar un precio alto.
Según Michael Kajiloti, investigador de seguridad en Intezer, “es probablemente bastante caro y algo exclusivo debido a que hay relativamente pocos actores que utilizan este malware-as-a-service en particular y el nivel de sofisticación que ofrece”.
Un backdoor exclusivo
El código fuente de PureLocker ofrece algunas pistas acerca de su naturaleza exclusiva ; como que contiene secuencias del backdoor malware ‘more_eggs’ que venden proveedores ‘veteranos’ de servicios de malware. Algunos de los grupos de cibercriminales más notorios de hoy en día utilizan estas herramientas, entre ellos Cobalt Gang y FIN6, y parece que PureLocker comparte código de campañas previas llevadas a cabo por estos grupos. Esto indica que PureLocker fue diseñado para criminales que saben lo que hacen y que son capaces de atacar a grandes empresas.
Las víctimas de PureLocker reciben una nota de rescate reclamando un correo a una dirección de email para negociar el pago para descifrar los archivos. Además, dice que solo dispone de siete días para pagar, y que, en el caso de no cumplir con el plazo, se borrará la clave de descifrado.
Protégete contra ataques avanzados
Los investigadores de ciberseguridad que han analizado este ransomware todavía no saben cómo se entrega a las víctimas. Sin embargo, ataques de more_eggs empiezan con emails de phishing. Las similitudes entre este malware y PureLocker sugieren que es posible que este ransomware empiece de la misma manera.
Debido a que no se sabe exactamente cómo llega a los servidores de sus víctimas, la única manera de protegerse contra PureLocker es partir de una posición de confianza cero para asegurarse de que no haya ninguna puerta abierta al cibercrimen. Cualquier email que pueda parecer mínimamente sospechoso tiene que ser enviado directamente al departamento de seguridad informática y jamás se tiene que abrir ningún archivo adjunto de un remitente desconocido.
Fuente: https://www.pandasecurity.com/