El ransomware es el tipo de malware más peligroso de los
últimos años. Cuando un usuario se infecta por él, todos sus archivos
personales se cifran con un algoritmo prácticamente imposible de romper y,
posteriormente, se le pide el pago de un “rescate” para poder recuperar los
archivos o, de lo contrario, estos se perderán para siempre. Las formas más
comunes de distribuir ransomware es a través de campañas publicitarias
maliciosas, kits de exploits o correo electrónico, aunque la forma de
distribución de nuevo ransomware, conocido como Surprise, ha pillado por
sorpresa tanto a usuarios como a investigadores de seguridad.
Surprise, nombre que ha recibido este ransomware por la
extensión que añade a todos los archivos infectados, es un nuevo ransomware
detectado por primera vez el día 10 de marzo por unas pocas firmas antivirus,
desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto
que se publicó con fines educativos pero que, como ocurre siempre, está siendo
utilizado para hacer el mal.
Este ransomware ha llegado, como su nombre indica, por
sorpresa a todos los usuarios. Las víctimas del mismo se han encontrado con
que, de repente, de un día para otro todos sus ficheros habían sido codificados
añadiendo la extensión “.surprise” en todas las fotos, documentos y archivos
personales del sistema. Una vez finalizada la infección, el malware deja en el
escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El
autor de este ransomware se esconde tras dos cuentas de correo, una en
ProtonMail y otra en Sigaint.
Este ransomware utiliza un algoritmo AES-256 para cifrar los
archivos con una clave maestra RSA-2048, la cual se almacena en un servidor
remoto de control. Este malware es capaz de detectar 474 formatos de archivos
diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación
mediante las copias de seguridad, salvo que estas se almacenen idénticas en una
unidad externa desconectada del equipo en el momento de la infección.
Para recuperar los archivos, el pirata informático pide un
pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo y el número de
archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin,
unos 10.000 euros.
No se sabe cómo el pirata informático logró conectarse a los
servidores TeamViewer para distribuir Surprise
El ransomware en sí no es ninguna sorpresa, ya que a grandes
rasgos es como cualquier otro. Lo realmente curioso de él es la forma de
infectar a los usuarios. Aunque al principio no había nada claro, según aumentó
el número de víctimas se pudo observar un patrón, y es que todas ellas tenían
instalada la herramienta de control remoto TeamViewer en sus sistemas.
Analizando los registros de esta herramienta, todas las víctimas han podido ver
cómo un usuario no autorizado se había conectado a sus equipos, había
descargado un fichero llamado “surprise.exe” (el ransomware) y lo había
ejecutado manualmente, dando lugar así a la infección.
Infección del ransomware Surprise a través de TeamViewer
Por el momento no se sabe cómo ha conseguido el pirata
informático conectarse de forma remota a los equipos de las víctimas, aunque
hay dos posibles opciones:
La primera de ellas, aunque un poco complicada, es que el
pirata tenga en su poder una vulnerabilidad zero-day que le permita conectarse
de forma remota a cualquier servidor TeamViewer. Los responsables de seguridad
de TeamViewer han auditado su herramienta tras las primeras infecciones y
aseguran que esto no es posible, lo que nos lleva a la segunda opción.
La segunda de ellas, y probablemente más probable, es que utiliza
una herramienta de escaneo de red para detectar cualquier servidor TeamViewer
conectado y, posteriormente, consigue acceder a los sistemas de sus víctimas
mediante ataques de fuerza bruta.
Tanto las empresas de seguridad como Bleeping Computer y los
responsables de seguridad de TeamViewer están estudiando el caso para poder
arrojar luz sobre cómo ha sido posible que un pirata informático haya podido
distribuir este nuevo ransomware a través de esta herramienta de control
remoto.
Tal como recomienda directamente TeamViewer, si queremos
evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer
con una contraseña compleja, activar la doble autenticación, mantener el
servidor actualizado a la última versión (y descargado siempre de la web
oficial) y, por último, asegurarnos de que el ataque informático no viene por
ninguna otra rama (por ejemplo, otro malware instalado en el sistema).
Los responsables de esta herramienta de control remoto
también recomiendan a todas las víctimas acudir a sus correspondientes
departamentos de policía con el fin de poner una denuncia y poder ayudar, en
todo lo posible, a la identificación de los responsables.
También es recomendable no pagar ya que, aunque lo hagamos
no tenemos la garantía de recuperar nuestros archivos, especialmente cuando los
últimos pings contra el servidor C&C no han devuelto respuesta.
___________________________________________________________________________
Tomado de: http://www.redeszone.net/2016/03/22/surprise-el-ransomware-que-se-instala-a-traves-de-teamviewer/
Se Respetan Derechos de Autor.
___________________________________________________________________________
Tomado de: http://www.redeszone.net/2016/03/22/surprise-el-ransomware-que-se-instala-a-traves-de-teamviewer/
Se Respetan Derechos de Autor.