Los operadores del ransomware ARCrypter están apuntando a objetivos a nivel global

Un nuevo malware no documentado llamado ARCrypter, que funciona como un ransomware de nivel medio, ahora está expandiendo sus ataques en todo el mundo. Desde principios de agosto, está apuntando a varias organizaciones en todo el mundo, incluido Europa, América del Sur y Asia. Los investigadores de BlackBerry descubrieron que los atacantes utilizaron dos URL […]

Un nuevo malware no documentado llamado ARCrypter, que funciona como un ransomware de nivel medio, ahora está expandiendo sus ataques en todo el mundo. Desde principios de agosto, está apuntando a varias organizaciones en todo el mundo, incluido Europa, América del Sur y Asia.

Los investigadores de BlackBerry descubrieron que los atacantes utilizaron dos URL de AnonFiles como recursos remotos para obtener un archivo zip protegido con contraseña que contenía un archivo cuentagotas ejecutable.

El archivo ejecutable contiene un BIN de recursos que contiene los datos cifrados (bloqueados con una contraseña) y un archivo HTML que contiene la nota de rescate. Una vez que se proporciona la contraseña, BIN crea un directorio aleatorio en el dispositivo comprometido para almacenar ARCrypter como la carga útil de la segunda etapa.

La carga útil de ARCrypter agrega una clave de registro para la persistencia y elimina silenciosamente todas las instantáneas de volumen para evitar una fácil restauración de datos. Modifica aún más la configuración de la red para asegurar una conectividad estable y luego encripta todos los archivos excepto algunos tipos de archivos predefinidos (como .dll, .ini y más) y ubicaciones críticas para evitar que el sistema quede completamente inutilizable.

El malware agrega la extensión ‘.crypt’ a los archivos cifrados y estos archivos infectados muestran el mensaje ‘TODOS SUS ARCHIVOS HAN SIDO CIFRADOS’ en el administrador de archivos.

La operación de ransomware roba datos durante los ataques, sin embargo, actualmente no tiene un sitio de fuga de datos para publicar datos para víctimas no pagadas. Las demandas de rescate varían y llegan a ser tan bajas como cinco mil dólares en algunos casos.

ARCrypter comprometió previamente a instituciones clave en América del Sur.
En septiembre, el CSIRT de Chile informó que algún malware (más tarde detectado como ARCrypter) lanzó un ataque dirigido a los servidores ESXi de Microsoft y VMware operados por una agencia gubernamental en Chile en agosto.

En octubre, atacó al Instituto Nacional de Vigilancia de Medicamentos y Alimentos (Invima) de Colombia, lo que provocó el cierre temporal de los servicios web de la organización.