– Llega el troyano Spora: así funciona el nuevo secuestro exprés en el ordenador.-

Además de pedir dinero por secuestrar nuestros archivos, se atreve a ofrecernos protección ante futuros ataques. Tampoco necesita ponerse en contacto con los atacantes en ningún momento durante el secuestro: tan solo a la hora de pagar el rescate.-


(eD-Pf).- De momento solo ha afectado a ordenadores rusos, pero Spora está en Internet y a Internet está conectado todo el mundo. De hecho, el ransomware ya cuenta con una versión en inglés lista para atacar sistemas más allá de las fronteras rusas. El virus se expande a través del correo electrónico, gracias a un archivo adjunto comprimido en .zip en cuyo interior hay una aplicación .hta o .html. La cuestión es que esto último no lo sabemos hasta que nos infectamos, ya que el ransomware se hace pasar por un archivo de Word (.doc) o de Adobe Acrobat Reader (.pdf).

Spora puede funcionar mientras el ordenador está apagado y es capaz de cifrar archivos sin necesidad de comunicarse con un command & control server (sin entablar contacto directo con los hackers)

2016 ha sido el año del ransomware. Las amenazas se han multiplicado respecto al ejercicio anterior y según los expertos los números seguirán subiendo. El informe del Identity Theft Resource Center (Centro de recursos por los robos de identidad) señala que  solo en los EEUU hubo más de 35 millones de registros relacionados con robos de datos en compañías.

Los objetivos principales de estos ataques ransomware fueron, en primer lugar, los hospitales y centros médicos: los historiales de los pacientes son dinero. En segundo lugar la industria armamentística y militar; y en último los bancos que, se presupone, debieran ser sistemas de los más seguros.

Los cibercriminales se han dado cuenta: pudiendo secuestrar un disco duro entero, ¿para qué hackear un archivo? Y es que Spora, aunque sigue siendo un ransomware como los demás, introduce ciertas variaciones que le hacen diferente. Por ejemplo, puede funcionar mientras el ordenador está apagado y es capaz de cifrar archivos sin necesidad de comunicarse con un command & control server (sin entablar contacto directo con los hackers). Una vez que la víctima ha sido infectada, le da la opción de elegir qué archivos quiere liberar e incluso le ofrece inmunidad para el futuro.

Spora

(Re)cifrado

Normalmente los virus de este tipo utilizan cifrado RSA: necesitan crear dos llaves, una pública y otra privada. Mientras que la pública se guarda en el ordenador infectado, la privada no sale del ordenador de los hackers hasta que la víctima paga el rescate.

Spora da una vuelta de tuerca, y es que genera una segunda capa de cifrado sin necesidad de ponerse en contacto con el servidor de los atacantes. El ransomware tiene una clave pública RSA codificada que utiliza, a su vez, para crear una AES privada que instala en el ordenador de la víctima. El pago por el rescate ha de hacerse en el servidor que indiquen los hackers. Una vez hecho eso, serán ellos quienes desencripten la clave AES del ordenador infectado.

Una herramienta de desencriptación diseñada específicamente para una víctima no podrá ser usada en otro ordenador infectado con Spora. El ransomware determina automáticamente la cantidad a pagar y almacena información en el archivo .key (que contiene la llave de cifrado AES) acerca de la fecha de infección o la localización del ordenador. Los creadores de Spora también han incluido una ID de campaña que identifica el equipo del usuario y les permite localizarlo.


@FernandoRMayowww.publifactoria.com.-

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *