El ransomware cifrado es un tipo de malware que cifra los datos del usuario y luego pide un rescate para recuperarlo y, ahora está atacando con una nueva fórmula, según la investigación de Kaspersky Lab. La compañía de seguridad ha denominado “Onion” a este nuevo malware detectado ya que utiliza la red anónima Tor (The Onion Router) para ocultar su naturaleza maliciosa y para hacer difícil el seguimiento de los actores que están detrás de esta campaña de malware.

TOR es una red de comunicaciones de baja latencia que, superpuesta sobre internet, permite actuar sin dejar rastro, manteniendo en el anonimato la dirección IP y la información que viaja por ella.

Las mejoras técnicas lo han convertido en una amenaza realmente peligrosa y en uno de los cifradores más sofisticados de hoy, por lo que podría convertirse en el sucesor CryptoLocker, CryptoDefence / CryptoWall, ACCDFISA y GpCode. Se trata de un nuevo tipo de ransomware cifrado que utiliza un mecanismo de cuenta atrás para asustar a las víctimas, que deben pagar por el descifrado de la información en Bitcoins. Los ciberdelincuentes ofrecen un plazo de 72 horas para realizar el pago, o todos los archivos se perderán para siempre.

Para transferir datos secretos e información de pago, Onion se comunica con los servidores de comando y control ubicados en algún lugar anónimo dentro de la red. Anteriormente, los investigadores de Kaspersky Lab habían visto este tipo de arquitectura de comunicaciones, pero sólo fue utilizada por unas pocas familias de malware bancario como 64-bit ZeuS mejorada con Tor.

"Parece que Tor se ha convertido en un sistema eficaz para comunicaciones y está siendo utilizado por otro tipo de malware. Ocultar los servidores de comando y control en la red Tor complica la búsqueda de los ciberdelincuentes, y el uso de un esquema criptográfico poco ortodoxo hace que sea imposible el descifrado, incluso si se intercepta el tráfico entre el troyano y el servidor. Todo esto, hace de Onion una amenaza muy peligrosa y uno de los cifradores más avanzados tecnológicamente que existen", afirma Fedor Sinitsyn, analista senior de malware de Kaspersky Lab.

Para que Onion llegue a un dispositivo, primero debe pasar a través de la red de bots  Andrómeda (Backdoor.Win32.Androm). El bot recibe un comando para descargar y ejecutar otra pieza de malware de la familia Joleee en el dispositivo infectado. Este último software malicioso, a continuación, descarga el malware Onion en el dispositivo. Esta es sólo una de las posibles formas en que Kaspersky Lab ha observado hasta el momento de distribuir el malware.

Distribución geográfica

La mayoría de intentos de infección se han registrado en la CEI (comunidad de estados independientes de exrepúblicas soviéticas), pero también ha habido casos  detectados en Alemania, Bulgaria, Israel, los Emiratos Árabes Unidos y Libia. Las muestras de malware más recientes admiten la interfaz en idioma ruso. Este hecho y el número de cadenas en el interior del cuerpo del troyano sugieren que los creadores de malware hablan ruso.

Recomendaciones para mantenerse seguro

Realizar copia de seguridad de archivos importantes: La copia de seguridad se debe realizar con regularidad y, por otra parte, las copias deben ser creadas en dispositivos de almacenamiento a los que se pueda acceder sólo durante este proceso (por ejemplo, un dispositivo de almacenamiento extraíble que se desconecte inmediatamente después de la copia de seguridad). Si no se siguen estas recomendaciones, los archivos de la copia de seguridad podrán ser atacados y cifrados por el ransomware de la misma forma que las versiones de los archivos originales.

• Instalar software antivirus: La solución de seguridad debe estar conectada en todo momento y todos sus componentes deben estar activos. Las bases de datos de la solución también deben estar actualizadas.

Links de utilidad:

Sala de Prensa de Kaspersky Lab España

https://securelist.com/analysis/publications/64608/a-new-generation-of-ransomware/

Sobre Kaspersky Lab

Kaspersky Lab es la mayor empresa privada de soluciones de seguridad endpoint del mundo. La compañía se incluye entre los 4 mayores proveedores de soluciones de seguridad endpoint del mundo*. A lo largo de sus más de 15 años de historia, Kaspersky Lab ha seguido innovando en seguridad TI y ofrece soluciones de seguridad eficaces para grandes empresas, PYMES y consumidores. Actualmente, Kaspersky Lab opera en casi 200 países y territorios de todo el mundo, ofreciendo protección a más de 300 millones de usuarios. Más información en www.kaspersky.es

La empresa se sitúa en la cuarta posición en el Ranking Mundial de Proveedores de Seguridad Endpoint (por ingresos) de IDC en 2011. Esta clasificación se ha publicado en el informe de IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares (IDC #235930, July 2012)”. El informe                                                   

© La información contenida en la presente puede ser modificada sin previo aviso. Las únicas garantías de los productos y servicios de Kaspersky Lab quedan establecidos de ahora en adelante en las declaraciones de garantía expresa que acompañan a dichos productos y servicios. Ninguno de los contenidos de la presente podrá ser interpretado como garantía adicional. Kaspersky Lab no se hace responsable de los errores técnicos o editoriales u omisiones presentes en el texto.