Operación de ransomware Chimera cerrada
Investigadores de Bleeping Computer confirmaron el martes que el malware ya no estaba activo.
Un número de compañías de seguridad publicaron alertas acerca de esta última cepa de criptoransomware, que está dirigido principalmente a usuarios en Alemania que amenazaba con desvelar la información cifrada de los usuarios.
Lawrence Abrams de Bleeping Computer, sin embargo, dijo que era de hecho una amenaza vacía y que el malware no tiene la capacidad de hacerlo.
“Ellos cifran los archivos de datos, pero no transmiten ningún detalle acerca de estos o los mismos archivos a ningún lugar durante el proceso de cifrado. La parte de cifrado del malware se borra a sí misma después de ejecutarse, por lo que no queda nada para transmitir más tarde”, dijo Abrams. “El descifrador que las víctimas tienen que descargar se ejecuta mientras espera que la clave de descifrado le sea enviada, tenemos el código fuente de este y notamos que no envía información de los archivos a ningún lugar.”
Abrams mencionó que el investigador Fabián Wosar de Emisoft también ha investigado sobre Chimera, su conjetura es que la cantidad de atención puesta sobre las campañas en Alemania podría haber forzado a los atacantes a cerrar la operación. La preocupación de Abrams, sin embargo, es que otras bandas de ransomware puedan seguir el ejemplo de Chimera, en particular, en torno a su uso exclusivo del protocolo de mensajería punto a punto bitmessage para las transacciones de comunicación y de pago entre los atacantes y los ordenadores de las víctimas.
Bitmessage es similar operacionalmente a bitcoin, en el que todos los usuarios reciben los mensajes cifrados a través del sistema. Sólo aquellos clientes con una clave privada pueden acceder al mensaje, en este caso el atacante. La naturaleza de distribución del sistema y el cifrado que ofrece para cada mensaje lo hizo atractivo para los atacantes.
“Siempre y cuando el desarrollador de malware tenga acceso a una computadora, pueden acceder a sus bitmessages, recuperar nuevas claves y enviar las claves de descifrado”, dijo Abrams. “Todos los bitmessages se guardan y se distribuyen a otros puntos durante dos días, por lo que el desarrollador puede moverse de un lugar a otro y aun así ser capaz de acceder a los mensajes que se recibieron durante ese periodo de tiempo. Como muchos de los puntos usan Tor, VPNs, I2P, entre otros; y reenvían los mensajes, no hay manera de determinar realmente quién era el remitente original”.
Chimera apareció en septiembre, difundiéndose en mensajes de correo electrónico relacionados con negocios de empresas en Alemania. Botfrei, el Centro de Asesoría AntiBotnet, publicó a principios de este mes una advertencia a las empresas acerca de la propagación de Chimera y la mensajería utilizada para mover el malware. Los correos electrónicos incluyen enlaces a recursos almacenados en Dropbox, que son en cambio el malware Chimera. El ransomware descarga y cifra los datos almacenados localmente y las unidades de red conectadas a la computadora víctima.
Las notas de rescate exigía alrededor de 700 dólares a pagar en bitcoins indicando que los atacantes publicarían datos personales y fotografías en línea si no se pagaba el rescate.
ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2629
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.