Variación del ransomware TorrentLocker apunta a usuarios japoneses

Table Of Contents

• Variación del ransomware TorrentLocker escrita para apuntar específicamente a usuarios japoneses
• Acerca de TorrentLocker
• El ataque

Variación del ransomware TorrentLocker escrita para apuntar específicamente a usuarios japoneses

Una nueva variación del ransomware TorrentLocker ha sido encontrada por expertos en seguridad de Symantec siendo explotada en la naturaleza. Este es el primer caso reportado de un ransomware que apunta específicamente a usuarios en Japón. Aunque Japón no es nuevo en ransomware, nunca antes ningún cibercriminal había hecho un intento tan específico de atacar a los usuarios japoneses. Los investigadores de Symantec dicen que este ransomware es una variante localizada de TorLocker. El malware encripta archivos con ciertas extensiones de archivo en la computadora comprometida y exige que el usuario pague para poder desencriptar los archivos. Los investigadores de Symantec también han confirmado que hay múltiples variantes de este ransomware japonés en particular.

Acerca de TorrentLocker

Este nuevo tipo de ransomware es un hermano de CryptoLocker y CrptoWall y utiliza la red de anonimato Tor para comunicarse con su servidor de comando y control. TorrentLocker utiliza temas y nombres de los ransomware CryptoLocker y CryptoWall, pero es muy diferente a nivel de código y se cree que es una nueva cepa de ransomware. El malware primero se conecta a un servidor de comando y control (C&C) a través de comunicaciones seguras e intercambia un certificado antes de encriptar el malware. El malware utiliza el algoritmo Rijndael para la encriptación de archivos. Este es un cifrado simétrico y utilizará una contraseña almacenada localmente o recuperada del servidor de los atacantes remotos para la encriptación.

El ataque

El ransomware generalmente se propaga a través de tantos medios como sea posible tratando de infectar a usuarios desprevenidos, sin embargo, el medio preferido por los cibercriminales es el spear phishing. El malware está cargado en un correo electrónico inocuo como un archivo adjunto que la víctima descarga pensando que es un archivo genuino. Una vez que un ransomware ha sido descargado en una máquina, procede a encriptar todos los archivos que se le ha ordenado hacer a través del programa y solicita un pago – usualmente en Bitcoins – para desencriptar los archivos, convirtiendo así los datos del usuario en rehenes. Este ransomware en particular también funciona de la misma manera con la adición de que todas las instrucciones están escritas en japonés.

TorLocker ha sido utilizado en ataques de ransomware en todo el mundo. La amenaza es parte de un programa de afiliados, donde el operador del programa proporciona a los participantes el constructor para crear ransomware personalizado, acceso al panel de control de TorLocker para rastrear infecciones y archivos diversos que se utilizarán en conjunto con el malware. A cambio, los participantes dan una parte de las ganancias del ataque al operador del programa de afiliados.

El malware se propaga a través de la página de phishing como se muestra en la imagen anterior, que muestra una página falsa de instalador de Adobe Flash Player. Si un usuario hace clic en el enlace en amarillo para descargar este falso Flash Player, se le solicita que descargue y ejecute un archivo de configuración para instalar el complemento. Sin embargo, el archivo no está firmado digitalmente, ni contiene el icono típico utilizado en los instaladores de Flash Player. Estos dos hechos sugieren que es una aplicación cargada de malware falsa que solo los usuarios atentos podrán notar la diferencia. Una vez que el archivo se descarga e instala, el ransomware se pone a trabajar en la encriptación de los datos del usuario.

Una vez que el malware ha terminado su trabajo, esta pantalla se muestra al usuario. El mensaje luego pide al usuario que pague para desbloquear sus archivos. El rescate exigido varía de 40,000 yenes a 300,000 yenes (aproximadamente US$500 a US$3,600). Japón se acerca rápidamente a sus vacaciones de año nuevo, lo que es un momento oportuno para que los cibercriminales ataquen. El atacante probablemente quiere aprovechar al máximo a los usuarios desprevenidos navegando por internet.

Symantec tiene las siguientes recomendaciones para evitar o mitigar infecciones por ransomware:

• Actualice el software, el sistema operativo y los complementos del navegador en su computadora para evitar que los atacantes exploten vulnerabilidades conocidas.

• Utilice un software de seguridad integral, como Norton Security, para protegerse de los cibercriminales.

• Realice copias de seguridad regularmente de cualquier archivo almacenado en su computadora. Si su computadora ha sido comprometida con ransomware, estos archivos pueden ser restaurados una vez que el malware sea eliminado de la computadora.

• Nunca pague el rescate. No hay garantía de que el atacante desencripte los archivos como prometió una vez que reciba el pago.