Программа-вымогатель BlackMatter перестала работать из-за давления полиции

Las organizaciones públicas en Rusia, incluidos los ayuntamientos y los tribunales, están siendo el objetivo de una variante de malware completamente nueva y bastante furtiva.

CryWiper se hace pasar por ransomware e intenta extorsionar a las víctimas con algo de dinero (0,5 bitcoins, o unos 9000 dólares al cierre de esta edición), pero su objetivo no es que le paguen, sino destruir todos los archivos que se encuentran en el terminal infectado.

Los investigadores de ciberseguridad de Kaspersky informan sobre ciberataques «únicos» en Rusia, en los que los archivos infectados reciben una nueva extensión: .cry (de ahí el nombre CryWiper). Si bien los medios locales dijeron que los atacantes se dirigieron a las oficinas del alcalde y los tribunales del país, no está claro exactamente cuántas entidades lograron comprometer.

¿Rusos apuntando a rusos?

Lo que sí sabemos es que el malware comparte rasgos comunes con otras dos cepas de malware: Trojan-Ransom.Win32.Xorist y Trojan-Ransom.MSIL.Agent. Todos ellos tienen la misma dirección de correo electrónico que figura en la nota de rescate. Xorist se vio por primera vez en 2010 y se describe como una familia de ransomware de Windows dirigido a usuarios de habla rusa e inglesa.

CryWiper fue escrito en C++, lo que, según Ars Technica, es una opción inusual e indica la posibilidad de que los piratas informáticos utilicen un dispositivo que no sea de Windows para escribir el código.

La misma publicación también afirma que el malware es relativamente similar a IsaacWiper, un malware de limpieza que recientemente apuntó a empresas con sede en Ucrania. Aparentemente, ambos limpiaparabrisas usan el mismo algoritmo para generar números pseudoaleatorios que sobrescriben los datos en los archivos, corrompiéndolos permanentemente.

Los atacantes usarían el algoritmo Mersenne Vortex PRNG, que es otra característica poco común.

Los limpiaparabrisas se encuentran entre las variantes de malware más peligrosas, ya que su único propósito es «borrar» todos los datos del dispositivo de destino de forma permanente. Para defenderse de tales ataques, se recomienda a los usuarios que tengan cuidado al descargar archivos adjuntos y que se aseguren de que su software y hardware estén siempre actualizados. También es recomendable contar con soluciones de ciberseguridad de última generación (se abre en una nueva pestaña).

Через: Ars Technica (откроется в новой вкладке)

Поделиться