Ransomware Critoni a la venta por $3000 en foro subterráneo, utiliza la red de anonimato Tor para comunicarse con su servidor C & C

Un nuevo ransomware llamado Critoni se está vendiendo en los foros subterráneos. La especialidad de este ransomware es que utiliza la red Tor para comunicarse con el servidor de comando y control remoto. Esto anonimiza la comunicación y, por lo tanto, la hace indetectable, ya que los comandos del ransomware pasan a través de varias capas de la configuración de anonimato de Tor antes de llegar al servidor de Comando y Control.

Para los no iniciados, un ransomware es un malware que, una vez infecta tu computadora, encripta varios tipos de archivos, documentos, videos e imágenes con una clave encriptada y luego te pide que pagues un rescate por las claves para desencriptar tus datos.

La publicación que ofrece la venta de Critoni fue descubierta por el investigador de seguridad francés Kafeine, quien dice que el anuncio ha estado activo desde mediados de junio de 2014. Dijo que el precio de este malware es de $3,000.00 / €2,220.00 / Rs.180,000.00.

Este malware en particular es llamado CTB-Locker (Curve-Tor-Bitcoin Locker) por los cibercriminales y Critoni.A por Microsoft. Critoni utiliza criptografía persistente basada en curvas elípticas, lo que haría imposible la desencriptación de archivos; las claves se generan aleatoriamente y no hay riesgo de que dos claves sean iguales. Si se infecta, el rescate debe pagarse en bitcoins para evitar el rastreo de la transacción. El ransomware también ofrece un tutorial sobre cómo obtener bitcoins a través del mercado si él/ella no posee ninguno. De hecho, si la víctima es nueva en la red de anonimato Tor, incluso proporciona tutoriales sobre cómo descargar Tor.

Según Kafeine, la publicación en el foro subterráneo también mencionó que el proceso de encriptación podría llevarse a cabo en ausencia de conexión a Internet, pero cómo podría conectarse con su servidor C & C en ese caso es una pregunta. Kafeine también informa que Critoni ha sido visto siendo entregado por el kit de explotación Angler, pero también se han detectado otras formas de ataque en la naturaleza.

Otro atributo de Critoni es que, una vez que expira el período de tiempo establecido para realizar el pago del rescate, el programa de bloqueo de archivos se autodelete automáticamente y se ofrece a las víctimas otra oportunidad para recuperar los datos. Estas instrucciones se proporcionan en un archivo TXT ubicado en la carpeta Documentos.

Según expertos en seguridad de Kaspersky, este es el primer criptomalware en utilizar la red Tor para anonimizar su comunicación con el servidor de comando y control. Este tipo de protección generalmente se ha visto en troyanos bancarios como el malware Zues.

En un informe en

Threatpost

, Fedor Sinitsyn de Kaspersky dijo: “El código ejecutable para establecer la conexión Tor está incrustado en el cuerpo del malware. Anteriormente, el malware de este tipo, esto se lograba generalmente con un archivo Tor.exe. Incrustar funciones de Tor en el cuerpo del malware es una tarea más difícil desde el punto de vista de la programación, pero tiene algunas ventajas, porque ayuda a evitar la detección y es más eficiente en general.”

Usar la red Tor reduce el riesgo de detección y facilita a los cibercriminales acuñar bitcoins a través de las desafortunadas víctimas de Critoni.A