HISTORIA DE UN VIRUS: “El virus de la Policía”

  RANSOMWARE, SU HISTORIA

   Ya hace tiempo que tuvimos la desgracia de conocer al que fue denominado en este Blog como “El Virus Mortadelo”, en clara alusión al personaje y a sus disfraces, conocido como el “Virus de la Policia”, «Virus de la SGAE», «Virus UKASH», “Virus de la Gendarmería Nacional Francesa” e incluso “Virus del FBI”

    A nivel mundial han sido muchos los ordenadores que han sido infectados por el conocido virus “Ransomware”, que una vez bloqueados tras la infección, sus asustados usuarios no han dudado en efectuar, y sin perder tiempo, el pago electrónico solicitado para conseguir tanto eludir la denuncia del “falso” cuerpo policial.

   El falso mensaje argumenta que además que la dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores, etc.

   Jamás llegaron las denuncias con las que amenazaba el mensaje que aparecía en la pantalla, sin embargo si llegaron las de algún indefenso usuario que, aunque temeroso, si se atrevió a denunciar los hechos a la verdadera policía de su país, pero el mal ya estaba hecho y casi irreparable.

   Lo que si llegaron son los beneficios a los cibercriminales, según se calcula, las ganancias se han estimado en 33.000 dólares al día que se reembolsaba el cibercriminal que manejaba el malware.  Imaginaros el “negocio” redondo, y sin moverse de casa.

   Según Symantec se han llegado a detectar 16 “disfraces” o variantes del ransomware, todos desarrollados de forma independiente en los dos últimos años. El “bicho” vió la luz En Rusia y Europa del Este, donde se iniciaron los ataques a usuarios de esos países, , pero el beneficio era tan grande que termino extendiéndose por el resto de Europa, España incluido, llegando incluso a Estados Unidos y Canada

   Este malware, el rasonware, ha sido utilizado por pequeños grupos de ciberdelincuentes, que según se estima han podido llegar a obtener con su actividad  más de 5 millones de dólares a las víctimas conocidas, de las que no se tiene conocimiento… Al ver la facilidad de uso del malware, con riesgo casi cero para el malo, se potenciaron los grupos que de forma indiscriminada comenzaban a experimentar el nuevo “filón de oro” para la ciberdelincuencia.

   Esta estimación posiblemente se quede demasiado corta, pero lo que si quedó de manifiesto en todos los anáisis de los investiadores de Symantec es que el número de de ordenadores infectados iban “in crecendo” por lo que las cantidades obtenidas de forma fraudulenta podrían considerarse como ¡¡¡INCALCULABLES!!!

RANSOMWARE, SU “MODUS OPERANDI”

   El ransomware, dentro de sus múltiples “disfraces”, y en su versión inicial y más básica, mostraba un pantallazo diciendo que era la policía, incluso personalizando el mensaje, al capturar la ubicación geográfica e ip de conexión, aludiendo a la ley de cada país, con el ánimo de hacer más fuerza en el engaño para obtener un éxito asegurado. Tras el pantallazo, el virus desactiva el ordenador.

   Estos mensajes harán alusión al FBI si la víctima se encuentra en Estados Unidos, al Cuerpo Nacional de Policía, si se encuentra en España, a la Gendarmería si está en Francia, etc.

   El usuario, pensando que es realmente el cuerpo policial quien se pone en contacto por un medio tan “sofisticado”, se apresura en pagar una multa para tener su ordenador restaurado e incluso para evitar una posible detención policial.

   Todas las víctimas fueron obligadas a pagar sus «multas» a través de un sistema de pago electrónico de prepago que les obligaba a comprar un PIN especial de proveedores como MoneyPak, Paysafecard o Ukash. Ese PIN válido es el objetivo final del defraudador.

   Los usuarios se infectan con mayor frecuencia a través de las descargas en sitios web de descarga populares o contendidos “diferentes” 😉 , estos sitios web disponen de “programas” insertados en su propio código, en los banners publicitarios por ejemplo, que son manipulados por los ciberdelincuentes e infectan los ordenadores de los visitantes.

   El pago se requiere en un plazo de 72 horas, plazo en el que si no se ha recibido el pago, se formularía la denuncia, la falsa denuncia. La víctima no tarda en pagar para evitar la vergüenza de ser “descubierto” por su familia consumiendo estos contenidos.

   Este PIN pago será enviado por el ransomware a un servidor, donde los atacantes lo recuperan y se benefician, dijo el informe de Symantec. «En este momento, los atacantes deben honrar su promesa y enviar un comando al ransomware diciéndole que sí desinstalar. Lamentablemente, esto rara vez sucede. En realidad, muchas de las variantes ransomware ni siquiera contienen el código para desinstalar sí mismos. «

   Después, el virus fue mutando, los cibercriminales “mas técnicos” mezclaban varios tipos de malware, en Estados Unidos, el FBI, detecto una variante denominada REVETON, que combinaba este virus con un troyano bancario que extraía las credenciales de banca online, e incorporaba un programa que capturaba todo los que se escribía en el pc, un Keylogger.

   Si quereis leer una buena entrada del funcionamiento del «Ransomware» os aconsejo esta publicada en el blog de spamloco.net

   Y de momento, “eso es to, eso es to, eso es todo amigos….” (Porky)

     Nosotros somos nuestra peor vulnerabilidad, pero también somos nuestro mejor antivirus

Nos vemos en la red

X1Red+Segura

Fuente: http://threatpost.com