Los autores responsables de Dridex y el malware Locky han hecho otro lanzamiento Bart malware.
Similar a otros ransomware , los usuarios infectados son notificados con sus fondos de escritorio cambiado con una advertencia, lo que confirma que sus archivos han sido cifrados y ofreciendo una serie de URL accesibles a través de la red Tor , donde pueden recibir instrucciones sobre cómo obtener sus claves privadas. Instrucciones de recuperación también se colocan en unRecover.txt nombres de los archivos de texto y situados en muchas de las carpetas de los usuarios.
A diferencia de versiones anteriores, el coste de desbloquear archivos cifrados se ha incrementado dramáticamente a 3 bitcoins en comparación con el inicial de 0,5 o 1 bitcoin de sus predecesores.
Este ransomware particular fue descubierto por primera vez hace unos días por el proveedor de seguridad Phishme.
Es muy diferente en la operación contra el malware previa del presumiblemente los mismos autores, en particular en su falta de confianza en los servidores de comando y control, reduciendo así la inversión requerida y la complejidad en el lado del atacante.
Al igual que en Locky y Dridex la herramienta emplea pícaro JavaScript , invocando el malware Rockloader para la entrega que se difunde a través de adjuntos ZIP dentro de correos electrónicos, que contienen a menudo permutaciones de los nombres photos.zip, pictures.zip o image.zip.
Otras similitudes incluyen los portales de pago, la estructura de codificación, mecanismo de distribución de correo electrónico y, curiosamente, el cifrado de archivos .n64 ROM, con Locky ser el único otro malware para hacer esto.
La nota de rescate, que muestra a sí mismo como el fondo del escritorio se localiza en Inglés, español, francés, alemán e italiano y de manera interesante si se detecta paquete de idioma del usuario en los archivos de los usuarios rusos, ucranianos o bielorrusos no están cifrados.
En lugar de emplear el par almacenar procedimiento clave C2 típico en el que la clave cifrada archivos se pasa a los servidores de comando atacantes sólo están disponibles en la liberación tras el pago del rescate, Bart de malware opera mediante la colocación de los archivos de las víctimas en las ZIP protegidos por contraseña.
Los métodos de operación y mayor costo en términos del precio del rescate, muestra un cambio preocupante en la dirección de los autores de estas infecciones digitales ya difíciles y potencialmente incapacitantes.
El coste de las operaciones y la complejidad han reducido en el lado de los atacantes, lo que sin duda va a ver un aumento en el volumen de estos ataques como las herramientas se hacen más accesibles a un mayor número de jugadores maliciosos.
Los más afectados en esta última ola no serán las organizaciones que pueden responder rápidamente a estas amenazas, emplear un sistema de copias de seguridad adecuado para restaurar en ocasión del compromiso y tener la capacidad del filtro de los nombres de archivos adjuntos incluidos en el perímetro, pero en lugar de las numerosas seguridad usuarios finales ingenuos en sus máquinas de casa.
Esto, junto con el aumento del costo para el desbloqueo, podía ver a Bart de malware como una de las formas más destructivas e intrusivas de malware hasta la fecha, en particular en el ámbito público.
Fecha actualización el 2021-4-23. Fecha publicación el 2016-6-30. Categoría: Hackers. Autor: Oscar olg Versión Movil