¿Por qué los Cibercriminales disfrazan los Wiper como Ransomware?
Hay una nueva campaña de spam en la ciudad. Disfrazado como una solicitud de empleo de una persona llamada "Eva Richter", la campaña tiene como objetivo infectar a los usuarios de habla alemana con una variedad de malware conocido como Ordinypt.
Ordinypt se parece a su ransomware común pero no contiene ningún mecanismo que permita a los usuarios recuperar sus archivos. En cambio, simplemente sobrescribe los datos, haciéndolos irrecuperables permanentemente. La naturaleza destructiva de Ordinypt significa que no hay incentivos para que las víctimas paguen el ransomware, lo que plantea la pregunta: ¿cuál es el punto?
¿Cómo funciona la campaña de spam de Ordinypt?
La campaña de spam Ordinypt se dirige a personas de habla alemana con correos electrónicos que parecen ser una solicitud de empleo. Los correos electrónicos se envían desde "Eva Richter" y tienen el asunto "Bewerbung via Arbeitsagentur - Eva Richter" ("Solicitud a través de la oficina de empleo - Eva Richter").
El cuerpo del correo electrónico contiene el siguiente texto (traducido del alemán):
Queridos señores y señoras,
Por la presente solicito el puesto ofrecido por usted en la Agencia de Empleo.
El campo de actividad que describe corresponde especialmente a las perspectivas de mi carrera. Se adjuntan mis documentos de solicitud.
Estaría muy contento con una invitación a una entrevista de trabajo personal.
Tuyo sinceramente,
Eva Richter
Los correos electrónicos contienen un archivo zip adjunto que pretende ser el currículum de Eva. Dentro del archivo zip hay un archivo llamado "Eva Richter Bewerbung und Lebenslauf.pdf.exe". Al abrir este archivo se ejecuta el malware Ordinypt, que aparentemente comienza a cifrar los archivos de la víctima y agrega una extensión a los archivos cifrados.
Cuando se completa el proceso, se crea una nota de rescate. La nota instruye a las víctimas a realizar un pago en un sitio de Tor para recibir un descifrador, lo que les permitirá recuperar sus archivos. En los ejemplos vistos por BleepingComputer, el monto del rescate fue de 0.145 BTC, o aproximadamente $ 1,500.
============================ BIENVENIDO ===================== ======= ============== ¡NO BORRE ESTE ARCHIVO HASTA QUE TODOS SUS DATOS SE HAN RECUPERADO! ==============
Todos sus archivos han sido encriptados y ahora tienen la extensión de archivo: .MyyqA
La única forma de recuperar sus archivos es comprar nuestro software de descifrado, que solo funcionará para su PC.
Para obtener más instrucciones sobre cómo descifrar sus archivos, descargue el navegador TOR
================================================== ======
1. Descargue el navegador Tor desde: https://www.torproject.org
2. Instalar y abrir TOR Browser
3. Navegue a la siguiente url: http://2u6gynsdszbd7ey3.onion/
4. Ingrese su código de acceso
Su código de acceso:
xxx
Cópielo y péguelo en el campo del código de acceso
================================================== ======
Advertencia:
NO MODIFIQUE CUALQUIERA DE LOS ARCHIVOS CIFRADOS O INTENTE DE OTRA MANERA PARA DESENCRIPTARLOS USTED MISMO
¡USTED PUEDE DAÑAR LOS ARCHIVOS Y PERDERÁ SUS ARCHIVOS PARA SIEMPRE!
Desde el proceso de cifrado hasta la nota de rescate, Ordinypt tiene todas las características del ransomware convencional. Sin embargo, esto es simplemente un disfraz. Ordinypt es en realidad un Wiper, una clase de malware diseñado para destruir archivos. Los archivos que han sido afectados por Ordinypt no pueden recuperarse, por lo que si ha sido infectado con este malware no pague el rescate, no podrá descifrar sus archivos.
Los archivos que han sido afectados por Ordinypt no pueden recuperarse, por lo que si ha sido infectado con este malware no pague el rescate , no podrá descifrar sus archivos.
¿Cuál es el punto ?
Ordinypt no es el único Wiper que hemos visto disfrazado de ransomware recientemente. A principios de agosto de 2019, GermanWiper causó dolores de cabeza a las empresas alemanas, destruyendo permanentemente los datos de los usuarios y exigiendo pagos de rescate. De hecho, el malware destructivo en general parece ser cada vez más común, con IBM informando que su equipo de Servicios de Inteligencia y Respuesta a Incidentes de X-Force vio un aumento del 200% en casos de malware destructivo entre la segunda mitad de 2018 y la primera mitad de 2019.
¿Qué pueden ganar los ciberdelincuentes al disfrazar su malware como ransomware?
El aspecto financiero
Bueno, probablemente no están en esto por el dinero. Si bien muchos ataques de ransomware involucran un componente de Wiper, el malware generalmente se usa para extorsionar, para resaltar la difícil situación de la víctima. La amenaza de la destrucción permanente de datos actúa como un fuerte incentivo para que las organizaciones tomen el rescate, lo que resulta en más ganancias para los cibercriminales. La ganancia financiera, no la destrucción aleatoria, suele ser el objetivo principal del ransomware, y los Wiper se utilizan como un medio para lograr este objetivo.
En el caso de Ordinypt, la motivación es un poco menos clara, pero una cosa es segura: la ganancia financiera probablemente no sea el objetivo principal. Lo que hace que el ransomware sea tan rentable es el hecho de que los ciberdelincuentes generalmente mantienen su parte del trato, es decir, si la víctima paga el rescate, los ciberdelincuentes les enviarán un descifrador que les permitirá recuperar sus archivos. Con Ordinypt y otros limpiadores disfrazados de ransomware, las víctimas saben que no tienen ninguna posibilidad de recuperar sus archivos, por lo que no hay incentivo para siquiera considerar pagar el rescate.
Disrupción económica
A veces, el propósito de ocultar los Wiper como ransomware es lograr una interrupción económica a gran escala. Por ejemplo, en 2017, después de una serie de ataques de ransomware de alto perfil, NotPetya fue lanzado al mundo.
Inicialmente, NotPetya parecía un ransomware convencional diseñado para generar la mayor cantidad de dinero posible, pero los investigadores de seguridad rápidamente se dieron cuenta de que algo andaba mal. El sistema de comunicación y pago rudimentario del ransomware significaba que las ganancias a largo plazo nunca fueron el objetivo principal.
En cambio, muchos expertos en seguridad creen que Petya era un malware destructivo disfrazado de ransomware, y fue creado por hackers militares rusos para desestabilizar los sistemas financieros en Ucrania como parte del conflicto en curso de los países. En general, NotPetya generó alrededor de $ 10,000 en pagos de rescate, pero causó más de $ 1 mil millones en trastornos económicos.
Disfrazar el ataque.
Fabian Wosar, director de tecnología aquí en Emsisoft, tiene otra teoría. Él cree que los recientes ataques de Wiper pueden estar dirigidos a un objetivo específico, pero se están distribuyendo en campañas de spam a gran escala para ocultar la identidad del objetivo y, por lo tanto, ocultar la identidad del atacante.
Por ejemplo, podría parecer muy sospechoso si un ex empleado descontento quisiera vengarse llevando a cabo un ataque singular contra la compañía individual que lo despidió recientemente. Sin embargo, si ese mismo ex empleado enviara el malware a diez mil organizaciones bajo el pretexto de una campaña masiva de ransomware, podría ser mucho más difícil para las autoridades identificar a un sospechoso.
Es posible que los ciberdelincuentes adopten un enfoque similar y utilicen campañas de spam para ocultar su verdadero objetivo y, por asociación, su propia identidad.
Prevención de ataques de Wiper
Independientemente de la motivación detrás de estos ataques de Wiper disfrazados de ransomware, el hecho es que el malware destructivo representa una seria amenaza para las empresas de todo el mundo. Una solución antivirus sólida, capacitación frecuente del personal y una estrategia integral de recuperación ante desastres son ingredientes esenciales para cualquier organización que desee mitigar los efectos del malware en los próximos meses.
