El ransomware sigue elevándose como la amenaza más preocupante que afecta a los consumidores y empresas.
Ahora viene otra expansión de las amenazas ransomware, Quimera (chimera), el malware que está dirigido principalmente a las empresas en Alemania, no sólo cifra archivos y unidades de red, sino también hace amenazas de publicar datos encriptados en línea si no se cumplen las demandas de extorsión.
El Centro de Asesoría Anti-Botnet, o Botfrei, publicó una nota sobre una actualización de Quimera esta semana. Quimera ha estado en circulación durante dos meses, propagándose a través de enlaces en correos electrónicos relacionados con la empresa.
"Algunas variantes de direcciones de remitente tratan de ser dirigidas a empleados específicos dentro de una empresa y tienen una cosa en común: en el correo electrónico, un enlace apunta a una fuente en Dropbox, alegando que la información adicional se ha almacenado allí", dijo el informe de Botfrei. "El usuario es solicitado que descargue estos archivos desde allí."
Si el usuario hace clic en el enlace, descarga el malware Chimera y comienza a cifrar los datos almacenados localmente y busca las unidades de red conectadas a la computadora comprometida. Todas las extensiones de archivo son cambiadas a .crypt.
Una vez que la víctima reinicia el equipo, es recibida con la nota de rescate habitual exigiendo £630 (unos $685 USD) a pagar en Bitcoin. En la nota también se compromete a publicar los datos personales y fotografías almacenadas en la computadora en línea si no se paga el rescate.
"Hasta ahora, no hay pruebas de que los datos personales se hayan publicado en Internet o no - igual que no hemos oído hablar de un caso en el que los cibercriminales han dado a conocer los datos después de pagar los 630 euros en Bitcoins," dice el informe de Botfrei.
Esta es una novedad en las campañas de ransomware, la mayoría de los cuales acaba cifrando los datos a nivel local y prometen entregar la clave de cifrado privada para desbloquear los datos cautivos. Rara vez han robado o los archivos son copiados en otras partes.
Claramente, los autores ransomware no se estan relajando. La actualización a Cryptowall de la semana pasada, apodada Cryptowall 4,0 por investigadores de Bleeping Computer, ha ido un paso más allá que su predecesor cifrando no solo los datos almacenados a nivel local sino también los nombres de archivo.
"Esto hace que sea mucho más difícil recuperar los archivos excepto pagando el rescate ", dijo el investigador independiente Nathan Scott, quien analizó la muestra de Cryptowall 4.0 en Bleeping Computer. "Si tratas de hacer una recuperación de forense de datos, los archivos aparecen con estos nombres extraños y el usuario no sabe cual archivo es cual. Nadie sabe la estructura de estos archivos.
"La única manera de recuperar sus datos es con una copia de seguridad completa", dijo Scott. "Si no tienes una copia de seguridad, la única manera de conseguir los datos de nuevo es pagando el rescate."
