El Laboratorio de Investigación de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, identificó un malware que cifra archivos, documentos e imágenes del sistema para luego pedir un rescate en BitCoins a través de un sitio alojado en la Deep Web y que a nivel propagación afecta a países de América Latina como Argentina, Brasil, Colombia y México.
El ataque se origina con un correo electrónico con un archivo adjunto que simula contener una imagen. Sin embargo, al momento de abrir el archivo, el usuario descarga una amenaza que evade las protecciones del sistema para luego ejecutar otro proceso, que lo conectará a una URL para descargar una segunda amenaza. Este archivo es un ransomware conocido como FileCoder que, una vez que se ejecuta, recupera información del sistema para luego crear una clave y cifrar los documentos del usuario.
Para poder obtener la clave para descifrar los datos se da un plazo de un mes y el costo del rescate aumenta a medida que pasa el tiempo. Con el fin de ganar dinero, los cibercriminales muestran el pedido del rescate al usuario, dejando las instrucciones sobre cómo debe hacer la víctima para recuperar sus archivos.
Cuando el malware finaliza el cifrado de los datos, abre un navegador y le muestra a la víctima un sitio alojado en la Deep Web, con los pasos a seguir para pagar una suma en BitCoins, si es que quiere recuperar su información. Al momento de analizar este código malicioso, el costo que debía pagar la víctima para recuperar sus archivos es de US$1000, lo que tiene un equivalente en BitCoins de 1,92.
Si el usuario realmente quiere recuperar sus archivos, porque no cuenta con un backup o bien se trata de información crítica o confidencial, deberá adquirir los BitCoins y realizar la transferencia a los cibercriminales. Para poder pagar el rescate la víctima debe tener acceso a la red TOR ya que el dominio en el cual se aloja el panel para realizar el pago corresponde a un dominio .onion.
Según la información de los sistemas de Alerta Temprana de ESET, desde la aparición de este ataque el 20 de marzo, se propagó por más de 50 países y afectó a más de 15.000 usuarios. Entre los países en dónde se ha visto esta amenaza se encuentran varios de Latinoamérica incluyendo a Argentina, Brasil, Colombia y México.
“Este tipo de situaciones remarcan la importancia de realizar copias de seguridad de manera periódica para poder recuperar la información, no descargar ni ejecutar archivos que provengan de correos sin antes analizarlos con una solución de seguridad”, dijo Pablo Ramos, Coordinador del Laboratorio de Malware de ESET Latinoamérica.