Tras la embestida del ransomware en los últimos años, con ataques notorios como los de Locky, Petya y Wannacryptor, aumentó mucho la preocupacion de empresas y usuarios cuyos equipos alrededor del mundo, inclusive Latinoamérica, se vieron afectados. A día de hoy, son pocas las personas que nunca escucharon hablar de amenazas que retienen información y exigen un pago en bitcoins por liberarla.
Ante este escenario, algunos ciberdelincuentes decidieron sacar provecho de esta preocupación y del miedo por encontrarse frente a una pantalla de bloqueo que tienen los usuarios, y han desarrollado códigos maliciosos que aparentan ser ransomware.
ESTE ENGAÑO HACE QUE LAS PERSONAS PAGUEN POR LIBERAR INFORMACIÓN QUE NO HA SIDO COMPROMETIDA
En el artículo de hoy analizaremos uno de estos casos de falso ransomware, ya que recibimos muestras de amenazas detectadas por las soluciones de seguridad de ESET com MSIL/Hoax.Fake.Filecoder.
¿Por qué decimos que no son ransomware? Porque no tienen el mismo impacto, ya que la diferencia más importante es que no cifran archivos, pero sí podrían llegar a ser un problema para el usuario.
En la siguiente captura vemos la interfaz principal de lo que sería el resultado de la infección, en la que se advierte que se han cifrado los archivos y que la única manera de recuperarlos es depositando una determinada cantidad de bitcoins. También aparece una caja de texto para que la víctima ingrese un código de recuperación.
En un principio esta ventana cubre toda la dimensión de la pantalla del equipo, dejando al usuario sin otra posibilidad de interacción con otra aplicación.
En este punto, la víctima cree que ha ocurrido lo peor y que no tiene más opción que pagar el rescate, pero en realidad, si reinicia el equipo el bloqueo ya no es efectivo.
Al verificar si el archivo se encontraba protegido por algún packer, se identificó que el software estaba desarrollado con el framework .NET, tal como se puede ver en la próxima captura:
Utilizando el decompilador adecuado para este tipo de ejecutables podemos obtener gran parte del código, así como sus clases y métodos. De esta manera, podemos determinar con exactitud qué intenta realizar la amenaza.
En la sección de resources se encuentran las imágenes que son utilizadas junto con el mensaje para el usuario, que indica que sus archivos fueron cifrados:
A continuación se pueden apreciar algunas cuestiones relacionadas al framework .NET. Los métodos que se encuentran allí están relacionados a la interfaz gráfica, como los botones o cajas de texto para que el usuario ingrese datos.
Aquí ya podemos determinar por qué este código malicioso no es realmente un ransomware, ya que:
- No posee ningún método o función que busque un tipo de archivo determinado (cuando hablamos de ransomware, solemos determinar a qué extensiones de archivos apunta, pero aquí no hay ningún tipo establecido).
- Tampoco existe un algoritmo para cifrar información.
En la siguiente secuencia de código es donde se realiza la verificación de la llave que debe ingresar la víctima para poder recuperar la supuesta información secuestrada; de lo contrario, se mostrará un mensaje de error. Si observamos en detalle el código para desbloquear el equipo, vemos que se encuentra en texto plano “12345”.
¿Y si no es ransomware, qué es?
Es difícil encasillar a estas amenazas en una determinada clase de malware, porque presentan una mezcla de características de varios tipos. Podemos decir que se parece mucho a un lock-screen(bloqueador de pantalla), si tomamos en cuenta que no permite utilizar el equipo ni sus aplicaciones. Pero, a decir verdad, el equipo no permanece bloqueado tras un reinicio, así que no es un verdadero lock-screen.
Además, dice haber cifrado los archivos, no haber bloqueado la pantalla; esa es la afirmación que hace cualquier ransomware al infectar un equipo. Pero esta amenaza no es capaz de cifrar archivos, solo usa la ingeniería social para inducir a sus víctimas a pagar un rescate.
La forma de propagación también es muy similar a la del ransomware: generalmente, correos electrónicos con archivos maliciosos adjuntos, o que dirigen al usuario a un supuesto archivo alojado en Google Drive. Los señuelos son los de siempre: multas, facturas por pagar, contratos, balances bancarios, etc.
Así que ten mucho cuidado al revisar tu bandeja de entrada y presta atención a las señales de que un correo puede ser falso.
Conclusión
Como hemos visto, esta amenaza no posee muchas de las características a las que nos tiene acostumbrado un ransomware, como métodos de propagación o persistencia, implementación de algoritmos de cifrado o búsqueda de archivos para cifrar.
Sin embargo, la aparición de este caso no deja de ser alarmante, ya que nos muestra que, a veces, los cibercriminales ni siquiera necesitan desarrollar un complejo malware para robarle dinero a sus víctimas. Con solo una pantalla intimidatoria y la amenaza de perder archivos, logran engañar a los usuarios más desprevenidos, sin siquiera tener que llegar al punto de cifrar realmente sus archivos.
Es preocupante pensar que, por un descuido, puede haber personas que pagarán por liberar información que no ha sido comprometida.
Por eso es tan importante como siempre que estés atento, que te informes sobre las modalides de ataques y las formas de evitar ser víctima, de manera que el sentido común, las tecnologías y soluciones que hoy existen te ayuden a protegerte de este tipo de ataques.