Spora ransomware ha empezado a extenderse a nuevos territorios fuera de los antiguos estados soviéticos.
Spora ransomware apareció en la primera semana del año 2017, y su primera versión contó con una nota de rescate sólo en ruso, que significa que sus distribuidores sólo se dirigen a los territorios con los usuarios de habla rusa.
Esta presunción se reforzó inmediatamente por los datos estadísticos recogidos a través ID-ransomware, un servicio que permite a los usuarios subir archivos cifrados y obtener un posible rival para el ransomware que ha infectado su sistema.
Durante los primeros días, los únicos que subiera archivos cifrados con Spora eran usuarios rusos.
Esta tendencia se mantuvo en la semana, junto con las infecciones esporádicas en los países vecinos como Kazajstán, Bielorrusia, y otros, pero no en el mismo nivel que el número de infecciones registradas en el territorio principal ruso.
Las cosas parecían haber cambiado la semana pasada, de acuerdo con varios investigadores, que ahora han descubierto múltiples campañas de distribución Spora ransomware.
Poco después, el servicio de identificación-ransomware comenzó registrarse subidas de archivos cifrados con Spora de usuarios fuera del antiguo espacio soviético. Países como Arabia Saudita, Austria o los Países Bajos, se convirtieron en focos de infecciones Spora.
Este cambio de orientación geográfica sucedió porque Spora dejó de ser distribuido exclusivamente a través de correos electrónicos no deseados escritos en ruso.
Spora se extendió a través de paquetes de exploits y nuevas oleadas de spam
De acuerdo con MalwareHunterTeam, un servidor de distribución de software malicioso había sido utilizada para albergar múltiples versiones ransomware en los últimos días, como Cerber, Spora, Locky, y el recientemente lanzado ransomware Sage. Este centro se había distribuido históricamente comprobadas como amenazas Cerber y Locky.
Este servidor se ha utilizado junto con las inundaciones de spam, no explotar kits, que muestra dos métodos diferentes de distribución Spora se utilizan al mismo tiempo. Los usuarios recibirán mensajes de correo electrónico con archivos adjuntos maliciosos que contenían el código binario que descargó spora de la mencionada "malcenter."
En la actualidad está sin confirmar si estos son diferentes actores, pero de acuerdo a-squared, el ransomware Spora incluye soporte para un " identificador de campaña ", un parámetro de uso frecuente para realizar un seguimiento tanto de la eficacia de los diferentes envíos de spam, sino también diferentes grupos que alquilan Spora de sus creadores.
Si bien aún investigamos si Spora ha sido puesta a disposición como-as-a-Service ransomware ofrenda, lo que es seguro es que este malware se ha convertido en una amenaza global.
