Hackers emplean el ransomware KeyPass para realizar ataques manuales

Una nueva variante de KeyPass con una función manual aparece en más de 20 países

Los investigadores en seguridad de Kaspersky Lab publicaron un reporte sobre una nueva variante del ransomware KeyPass que ha estado dando vueltas alrededor del mundo desde el 8 de Agosto. El malware ha obtenido una nueva función que permite a los atacantes modificar el código malicioso remotamente, dejándoles alterar el procedimiento de encriptación.

Los expertos en seguridad apuntaron que el virus ya ha infectado a más de 100 víctimas, la mayoría de ellas de países en vías de desarrollo. Las víctimas más afectadas se encuentran en Brasil (19,5% de las víctimas) y Vietnam (14,6%). Entre las víctimas había gente de Algeria, India, Irán junto a otras pocas infecciones en Francia y Alemania.

No se conoce mucho aún sobre cómo se distribuye el ransomware KeyPass, aunque algunos usuarios mencionaron que intentaron descargar el programa de crackeo KMSpico. Otras víctimas declararon que no instalaron nada en sus ordenadores antes del ataque del malware.

Cómo opera el troyano KeyPass

El virus KeyPass es una variante del ransomware STOP que regresó originalmente en Febrero del 2017. En cuanto el malware entra en el ordenador, copia su ejecutable en la carpeta %LocalAppData% y se elimina una vez que el proceso de infección se completa. Sin embargo, antes de la eliminación, el malware copia su propio proceso en varias localizaciones diferentes del dispositivo. Luego, el ransomware comprueba el dispositivo en busca de archivos y los bloquea tal y como describen los investigadores:

KeyPass enumerates local drives and network shares accessible from the infected machine and searches for all files, regardless of their extension. It skips files located in a number of directories, the paths to which are hardcoded into the sample.

El virus intenta conectarse a un Servidor de Comando & Control para enviar la ID personal y la clave de encriptación, la cual puede ser usada para recuperar todos los datos.

KeyPass luego usa el algoritmo AES-256 para encriptar los archivos y añade la extensión .KEYPASS, bloqueando los datos personales y convirtiéndolos en inútiles. Adicionalmente, coloca una nota de pago llamada !!!KEYPASS_DECRYPTION_INFO!!!.txt y colocada en cada carpeta que contenga archivos bloqueados. Los hackers demandan 300$ en Bitcoins para desbloquear los datos y declaran que la cantidad incrementará si el pago no se realiza en un plazo de 72 horas.

En caso de que la conexión a internet no esté establecida entre el PC infectado o el Servidor de Comando & Control no esté accesible, el malware codificará los datos usando un código e ID, permitiendo recuperar los datos relativamente fácilmente.

La función de control manual permite a los hackers preparar los objetivos y realizar ataques más peligrosos

El troyano KeyPass contiene una función que está inteligentemente ocultada por defecto. Sin embargo, se puede acceder a la función pulsando un específico botón del teclado. Los especialistas de Kaspersky declaran que esta función podría permitir a los hackers obtener control manual sobre el programa malicioso.

Aunque la característica oculta puede no significar mucho para las víctimas, los hackers pueden hacer uso de ella para modificar manualmente los parámetros del malware, incluyendo:

  • ID de la víctima;
  • Extensión de archivo;
  • Nombre de la nota de pago;
  • Contexto de la nota de pago;
  • Clave de encriptación, etc.

Esto significa que la cantidad de dinero demandada también puede variar.

El ransomware es uno de los tipos de malware más peligrosos y han estado prevaleciendo desde el 2013 con el lanzamiento de CryptoLocker. Se establecieron botnets que facilitaron la proliferación de estos malwares. Algunos virus bloquearon las pantallas de los usuarios mostrando falsos mensajes de un supuesto FBI o policía, mientras que amenazas como WannaCry y Petya destruyeron la operación de varias organizaciones de alto perfil e instituciones gubernamentales durante días. Las empresas sufrieron millones de dólares en daños.

Por ello, el ransomware es aún una de las mayores ciber amenazas, y los usuarios deberían tomar los pasos en seguridad necesarios para evitar sus ataques.

Sobre el autor
Lucia Danes
Lucia Danes - Investigadora de virus

Contactar con Lucia Danes
Sobre la empresa Esolutions

Leer en otros idiomas
Archivos
Software
Comparar