CryptXXX, el ransomware que roba contraseñas y Bitcoins
Juan Carballo
Los primeros signos de actividad del ransomware CryptXXX se detectaron a finales de marzo de este año. Según los expertos en ciberseguridad que han podido analizarlo, esta amenaza informática se distribuye a través de páginas web que utilizan el Angler kit, un crimeware que se aprovecha de algunas vulnerabilidades para infectar los equipos con Bedep, otro software conocido por tener la capacidad de descargar malware.
El proceso de infección es el siguiente: el usuario ingresa en una página que integra el Angler kit, se infecta con el malware Bedep y, en la segunda etapa, se descarga autónomamente CryptXXX como un archivo DLL con ejecución retardada, es decir, está programado para esperar 62 minutos antes de operar en el ordenador de la víctima.
Este ransomware sustituye los fondos de escritorio de los usuarios con una nota de rescate y crea documentos de texto con esta misma información por todo el equipo. Se puede detectar la infección identificando los archivos con nombre “de_crypt_reame.txt” y “de_crypt_readme.html” o por la extensión “.crypt” de los archivos secuestrados.
En la nota de rescate los ciberdelincuentes solicitan 1’2 Bitcoins, una cantidad cuyo valor en la actualidad superaría los 450 euros al cambio. Esto es una cifra muy por encima de la media de otras infecciones recientes de ransomware como Locky. Además, CryptXXX tiene la capacidad de robar Bitcoins de la víctima y credenciales de los servicios de mensajería instantánea, correo electrónico, clientes FTP y navegadores de Internet.
Los investigadores han encontrado similitudes entre CryptXXX y el ransomware antiguo Reveton que alimentan las sospechas de que son la creación de un mismo grupo de ciberdelincuentes. Ambas familias de malware se codificaron en Delphi, utilizan el mecanismo de ejecución retardada, solicitan Bitcoins como rescate, roban credenciales y utilizan un protocolo determinado en TCP 443.
“Si bien hemos observado muchas nuevas familias de ransomware en los últimos meses, muchos han sido escritos y distribuidos por actores menos experimentados y no han ganado fuerza de forma significativa” explica Kafeine, investigador de Proofpoint. Esta situación es muy similar a la que se vivió a principios de 2015 con Locky, una de las amenazas más virulentas de los últimos años.
[Fuente:softpedia/proofpoint]
Conoce cómo trabajamos en Computerhoy.