Ransomware CryptXXX, Roba Bitcoin y contraseñas locales
17
may.
2016
Los primeros signos del ransomware CryptXXX aparecieron hacia finales de marzo.
Los expertos en seguridad dicen que el ransomware se distribuye a través de las páginas Web que alojan el exploit kit Angler. Este kit del crimeware utiliza vulnerabilidades para enviar el malware Bedep, malware que se utiliza en los clics engañosos de los sistemas de los usuarios.
Bedep también es conocido por tener capacidades de "descargar malware", por lo tanto descargará el ransomware CryptXXX como una infección de segunda etapa, ejecutándolo como un archivo DLL de ejecución retardada, que esperará 62 minutos antes de ser ejecutado
CryptXXX pide 1,2 Bitcoin
Después de infectar a los usuarios, el ransomware cambia el fondo de escritorio de los usuarios colocando una nota de rescate de texto y en HTML en todo el equipo.
Usted puede detectar las infecciones de CryptXXX por las notas de rescate, que llevan el nombre de_crypt_readme.txt y de_crypt_readme.html, o por la extensión que añade a todos los archivos cifrados, la cual es .crypt
La nota de rescate pide 1,2 Bitcoin, que es aproximadamente $ 515 (€ 455), una suma que está muy por encima de la media de las infecciones recientes por ransomware.
CryptXXX viene con un componente de recolección de datos
En infecciones pasadas con el software malicioso de clic engañosos Bedep, Proofpoint también señaló que vio a Bedep servir un componente Infostealer. Después de un análisis en profundidad, se reveló que esto también es cierto con CryptXXX, que incluye una característica de este tipo.
CryptXXX es capaz de recolectar información y las credenciales acerca de los clientes de los usuarios locales de mensajería instantánea, clientes de correo electrónico, clientes FTP y de los navegadores de Internet.
CryptXXX es del mismo grupo que creó kit exploit Angler
Pero el detalle más interesante sobre CryptXXX llega al final del análisis realizado por la compañía. Proofpoint vio similitudes entre CryptXXX y el ransomware REVETON.
Las semejanzas con Reventon incluyen detalles tales como el hecho de que ambas familias ransomware se codificaron en Delphi, ambas utilizan un inicio retardado, la DLL tiene una función de entrada personalizada, ambas incluyen el rescate por medio de Bitcoin y las funciones de sustraer credenciales, y también utilizan un protocolo propio de C & C en TCP 443.
Lo que es peor, todos los indicios apuntan al hecho de que CryptXXX fue creado por el mismo grupo criminal del kit exploit Angler, del software malicioso Bedep y de REVETON en el pasado.
Proofpoint también ha dicho que CryptXXX puede "robar Bitcoin", pero no ha explicado cómo se lleva a cabo esto.
CryptXXX espera a tener el mismo impacto que Locky
Esta situación es similar a la forma en que el ransomware Locky salió de la nada en el inicio del 2015 y se convirtió en uno de las tres principales familias de ransomware, principalmente gracias al hecho de que se ejecuta en la infraestructura del troyano bancario Dridex.
La persona que está detrás de Bedep, Angler, y REVETON es el mismo que está detrás de otras herramientas aún más antiguas, tales como el exploit kit Cool. CryptXXX no es la variante ransomware simple elaborada por principiantes que utilizaron el código de-un código open-source (y defectuoso) subido a GitHub
Para estar informado de los últimos artículos, suscríbase:
Comentarios