Crecen los pagos de ransomware utilizando bitcoin blockchain
Los autores de ransomware están utilizando bitcoin blockchain, la criptomoneda líder en las transacciones online, para entregar las claves de descifrado a las víctimas. De esta forma, eliminan la necesidad de tener que mantener una infraestructura o utilizar sitios piratas de terceros.
- Cómo responder a las amenazas de ransomware
- Ransomware, la amenaza más activa con la que ciberdelincuentes extorsionan a usuarios y empresas
- Petya, el ransomware que sobrescribe el sector de arranque del PC
- Cuatro razones para no pagar ante un ataque ransomware
- El ransomware, la pérdida de dispositivos y los exploits
Este ransomware, muy enfocado a afectar especialmente a ordenadores con Windows, cuenta ahora con una variante basada en PHP capaz de infectar sitios web. Su aparición es relativamente reciente, con datos del pasado mes de febrero, ganando intensidad desde entonces. Los investigadores se han percatado de que estas prácticas de pago al observar la forma de proceder del ransomware conocido como CTB-Locker dirigido a los servidores web.
El ransomware procede de manera que involucra un script llamado access.php que sirve como puerta de entrada a los atacantes al servidor back-end. Dicho código se encuentra alojado en múltiples sitios web hackeados, y para su liberación, es necesario obtener una clave de descifrado. Las víctimas la obtienen una vez han realizado el pago mediante el sistema comentado.
Las listas de puertas de enlace utilizadas por el programa malicioso es actualizada de forma constante, lo que hace más difícil su detección. Los investigadores de la compañía de seguridad web Sucuri destacan que los creadores de CTB-Locker están adoptando un nuevo enfoque al utilizar bitcoin blockchain para entregar las claves de descifrado. La técnica se basa en un campo conocido como OP_RETURN que fue introducido en el protocolo de Bitcoin allá por el año 2014 para permitir que las transacciones recibieran elementos arbitrarios de texto o metadatos.
La nueva variante CTB-Locker genera una única dirección wallet de Bitcoin para cada infección. De esta forma, una vez que la víctima paga el rescate mediante el envío de la cantidad requerida de bitcoins a esa dirección, los atacantes generan una nueva transacción falsa de esa misma cartera para borrar su rastro. La transacción no se valida en el sistema Bitcoin, pero queda registrada en el bitcoin blockchain y se puede ver a través de sitios web como blockexplorer.com y blockchain.info.
El script CTB-Locker utiliza la API conocida como blockexlorer.com para comprobar el historial de transacciones de la cartera correspondiente a la infección y extrae la clave de descifrado de la transacción falsa una vez que se ha realizado el pago.
Así es como los delincuentes utilizan este sistema mucho más fiable que el tener que utilizar sitios piratas de terceros. Los investigadores de Sucuri destacan en su blog que aquí radica la belleza de las transacciones Bitcoin, de manera que “todo es público y transparente, y, al mismo tiempo, es posible mantener las cosas anónimas y no rastreables a direcciones IP reales."
Hay muchas aplicaciones que pueden beneficiarse de los sistemas distribuidos, a prueba de manipulaciones como el bitcoin blockchain, por lo que la tecnología está siendo adoptada por los bancos y otras industrias. Los investigadores de seguridad también demostraron el pasado año que el bitcoin blockchain puede ser objeto de abuso por los autores de malware para almacenar código malicioso o comandos, y la idea parece estar surtiendo efecto.
Es una información de Lucian Constantin, del servicio de noticias IDG News Service
