Ransomware Firecrypt contiene funcionalidad DDoS

Además de cifrar archivos, el ransomware también intenta llevar a cabo un ataque DDoS, aunque débil.

El ransomware FireCrypt fue descubierto por expertos forenses de MalwareHunterTeam y analizado por Lawrence Abrams de Bleeping Computer.

El malware técnicamente viene como un kit de construcción de ransomware llamado BleedGreen, de acuerdo con un informe del sitio Bleeping Computer. Solo después de que las víctimas lanzan un ejecutable generado por el distribuidor FireCrypt y disfrazado como un archivo .doc o .pdf, se infectan. A partir de ahí el ransomware tiene como objetivo principal el Administrador de tareas de la máquina. Después de matar el proceso, cifra 20 archivos diferentes, agregando “.firecrypt” al final de cada archivo.

Como la mayoría de las variantes de ransomware, FireCrypt le dice a los usuarios que sus archivos han sido cifrados y exige una suma de 500 dólares en Bitcoin para descifrarlos.

Después de que FireCrypt ha cifrado archivos, hace algo que otras variantes de ransomware no. Incrustado en el código fuente existe una función que se conecta a una URL codificada, descarga contenido y lo guarda en un archivo temporal en la máquina infectada. Según Bleeping Computer, la URL, pta.gov.pk, corresponde a la Autoridad de Telecomunicaciones de Pakistán. FireCrypt continúa descargando y llenando la carpeta %Temp% de la máquina con archivos basura del sitio, afirma el reporte. La intención de la función es llevar a cabo un tipo de ataque DDoS. En realidad, es un intento débil y según Abrams, tomaría un tiempo para hacer cualquier daño al sitio.

“El delincuente tendría que infectar a miles de víctimas antes de lanzar un ataque DDoS lo suficientemente grande como para causar cualquier problema al sitio web”, lee la publicación.”Además, todas las víctimas deben estar infectadas al mismo tiempo, y tener las computadoras conectadas a internet para participar en el ataque DDoS”.

Mientras que la funcionalidad DDoS lo diferencia de otros tipos de ransomware, FireCrypt no es completamente original. De acuerdo a los investigadores, comparte algunos rasgos con otra variedad de ransomware, Deadly for a Good Purpose, que también fue descubierto por MalwareHunterTeam en octubre. Ambas variantes tienen notas de rescate similares, código fuente, direcciones de correo electrónico y direcciones Bitcoin, lo que sugiere que comparten el mismo autor o que FireCrypt es simplemente una versión renombrada de Deadly for a Good Purpose.

Abrams dijo que el desarrollador detrás de FireCrypt probablemente pensó que sería divertido incorporar un componente DDoS. Dicho esto, no prevé que otros atacantes construyan la idea.

“Un ataque DDoS correctamente ejecutado a través de malware informático requiere persistencia y ocultación. Esto es completamente en desacuerdo con una campaña de ransomware exitosa, que quiere entrar y salir, dejar una nota de rescate y esperar los pagos. Muy pocos dejan persistencia aparte de la exhibición de notas de rescate”, dijo Abrams.

El hecho de que el componente DDoS probablemente sería capturado por un escáner antimalware hace que sea menos funcional también, afirma Abrams.

“El hecho de cifrar una computadora hará que una víctima escanee su computadora para encontrar otro malware, que entonces detectaría el componente persistente de DDoS. Por lo tanto, no veo esto como un método viable de realizar este tipo de ataques persistentes”, dijo.

Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=3118