Nuevo ransomware trata de incriminar a ejecutivos e investigadores
La mayoría de los ataques producidos por ransomware “secuestran” la información para pedir un rescate por la restauración de los archivos y los datos, por ello, dicho ataque tiene este nombre.
Si bien, puede que los atacantes detrás del ransomware no mantengan su palabra de devolver los archivos una vez que se ha pagado el rescate, una nueva versión no hace ruido y no molesta a los investigadores.
Es decir, el grupo atacante, en vez de exigir pagos en Bitcoin, les dice a las víctimas que se comuniquen con algunos investigadores de ciberseguridad y con el sitio llamado BleepingComputer, como si los investigadores y el sitio web fuesen los atacantes y los que hubiesen infectado las redes y los sistemas con el malware.
No obstante, esto es solo un intento por incriminar a los buenos. Existe un software llamado Azov Ransomware y es presentado como un malware con todas sus letras. Ahora bien, es mejor y más preciso definirlo como un limpiador de datos. Este malware actualizado ha comenzado a aparecer en algunas redes hace algún tiempo, sobre todo, después de una transacción de compra de instalaciones por parte del malware llamado SmokeLoader.
Si quieres tener protección total contra virus y malware, TIC Defense tiene para ti las mejores soluciones, desarrolladas por auténticos profesionales en el tema. La seguridad informática es obligatoria para tu empresa y por ello, es conveniente que instales todos los sistemas defensivos necesarios para mantener alejados a los hackers maliciosos.
Los usuarios descuidados seleccionan a menudo este malware en sitios inseguros, los cuales ofrecen generadores de contraseñas, cracks para programas y suites de oficina y trucos para videojuegos. Por ello, este botnet es empleado para distribuir fragmentos de software pirata a través de las redes y sistemas. Incluso, puede propagar otro ransomware.
Hay casos documentados de usuarios que han denunciado una doble encriptación de sus archivos e información, primero por Azov y después, por un ransomware llamado STOP. El ransomware en cuestión se inicia en un directorio temporal, una vez que está en el sistema.
Cuando el directorio temporal está activado, viene con una clave de registro de Windows, generalmente. El archivo ejecutable escanea todas las unidades de disco del computador para encontrar archivos que no sean de las extensiones .ini, .exe o .dll.
Cada vez que encuentran un archivo que no tenga estos formatos, tales como documentos, imágenes y videos, los cifra y añade la extensión .azov al final del mismo. En la carpeta de archivos cifrados, se crea un documento de texto en donde, generalmente, los atacantes escriben la dirección a donde tienes que depositar el rescate y cuánto es ese rescate.
En este caso, tal y como mencionan los expertos, el documento de este ransomware pide que la víctima se comunique con algunos investigadores de ciberseguridad, así como también, con las plataformas Haherezade o BleepingComputer, a través de sus cuentas de Twitter. Tal y como han afirmado los especialistas, es común que los atacantes quieran incriminar a los investigadores.
Por supuesto, ninguna de las víctimas podrá recuperar sus archivos, pero parece ser que esta no es la intención de los cibercriminales. Uno de sus objetivos es incriminar a especialistas en el tema, al mismo tiempo que quieren sembrar el caos a través de Internet. Es posible que se busque la forma de detener estos ataques y de desbloquear los archivos cifrados, pero, en estos momentos, la solución no está a la vista.
