Artículo: Atentos con esta nueva variante de ransomware. 

https://goo.gl/e4i56T

Traducción:

RAA , un ransomware descubierto en junio pasado y se encontró que incorporar el troyano que roba información Pony , ha evolucionado para orientar con mayor eficacia las empresas, el cifrado de archivos de las víctimas y también el robo de sus datos, con más probabilidades de infectar a sus clientes y contactos de negocios, así, a través de la lanza suplantación de identidad.

De acuerdo con una Kaspersky Lab entrada en el blog a través de securelist , la nueva variante, conocida como Trojan-Ransom.JS.RaaCrypt.ag, viene con varias nuevas capacidades clave: ahora llega oculto en un archivo adjunto archivo zip protegido por contraseña, y ahora se puede realizar sin conexión cifrado sin tener que solicitar una clave desde el servidor de comando y control. Además, mientras que su predecesor fue escrito en Javascript, RAA # 2 se codifica en el JScript similar.

Kaspersky Lab detectó por primera vez la variante en agosto de 2016. «Hemos encontrado que, al supervisar los archivos adjuntos a mensajes de correo electrónico de spam siendo distribuidos en la naturaleza», dijoFedor Sinitsyn , Kaspersky analista de malware, en una entrevista por correo electrónico con SCMagazine.com.

Dirigido específicamente a los países de habla rusa, los correos electrónicos no deseados que contienen RAA # 2 se dirigen claramente a los empleados corporativos, con un mensaje que intenta engañar al destinatario haciéndoles creer que son vencidos en un pago y pueden ser objeto de litigio. El mensaje también afirma que las regulaciones internas de seguridad requieren que el destinatario introduzca la contraseña 111 con el fin de abrir el archivo adjunto.

«Debe tenerse en cuenta que el envío de contenido malicioso en un archivo protegido con contraseña es un truco muy conocida y utilizada por los ciberdelincuentes para evitar que los sistemas anti-malware instalado en los servidores de correo de descomprimir el archivo y detectar cualquier contenido malicioso. Para desempaquetar un archivo de este tipo, el producto anti-malware debe recuperar automáticamente la contraseña del mensaje, lo que no siempre es posible «, explica la publicación en el blog de Kaspersky, co-escrito por el analista de malware Sinitsyn y Orkhan Mamedov.

Una vez instalado, Trojan-Ransom.JS.RaaCrypt.ag opera muy similar a la versión original, la apertura de un archivo RTF que se hace pasar por un documento de Microsoft Word con el fin de distraer a los usuarios mientras que sus archivos están encriptados. El proceso de cifrado en sí, sin embargo, es muy diferente de antes, porque RAA genera su propia clave de cifrado en el cliente en lugar de esperar a recibir una de su servidor de C & C.

Si bien la muestra original RAA ransomware pidió $ 250 en bitcoins, esta versión de la nota de rescate no hizo una demanda específica. «Sólo se dio formas de contactar a los criminales a través de correo electrónico o bitmessage, y que no se comunicó con ellos para averiguar la suma», dijo Sinitsyn. La nota en sí está escrito en perfecto ruso, dijo Sinitsyn, y advierte a las víctimas que sus archivos están encriptados por el algoritmo AES, que se utiliza «para proteger el secreto de Estado».

Mientras tanto, el componente del potro del malware, que reside en el interior como un ejecutable del código de RAA, exfiltrates datos confidenciales de la máquina infectada. «El uso de los datos robados, los ciberdelincuentes pueden obtener acceso a los clientes de correo de la víctima y otros recursos. Podemos suponer que los propietarios de RAA utilizan estos recursos para llevar a cabo ataques dirigidos – envío de correos electrónicos con el malware cifrador a las direcciones en la lista de contactos de la víctima. Esto mejora sustancialmente la probabilidad de infecciones posteriores «, explica el blog.

The following two tabs change content below.

• Bio
• Latest Posts

Jose Miguel

Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.

Latest posts by Jose Miguel (see all)

• Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
• Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
• Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
• Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
• Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024