Investigadores detallan dos nuevos tipos de ransomware: AlumniLocker y Humble. Ambos son nuevos y tienen formas muy diferentes de hacer las cosas, lo que demuestra la diversidad en un espacio en el que los atacantes están ansiosos por involucrarse.
Dos formas de ransomware recién descubiertas con características muy diferentes muestran cuán diverso se ha vuelto el mundo del ransomware a medida que más delincuentes intentan unirse a la extorsión cibernética.
Ambas formas de ransomware surgieron en febrero y han sido detalladas por investigadores de ciberseguridad de Trend Micro –AlumniLocker y Humble– con las dos versiones intentando extorsionar un rescate de bitcoins de diferentes maneras.
AlumniLocker es una variante del ransomware Thanos y de inmediato se destaca por exigir un pago de 10 Bitcoins a la víctima infectada, una cifra que actualmente equivale a unos 450.000 dólares.
El ransomware se envía a las víctimas a través de un archivo PDF adjunto malicioso que afirma ser una factura que se distribuye en correos electrónicos de phishing . El PDF contiene un enlace que extraerá un archivo ZIP que ejecuta un script de PowerShell para eliminar la carga útil y ejecutar el ransomware.
Al igual que un número cada vez mayor de campañas de ransomware, los atacantes detrás de AlumniLocker amenazan con publicar los datos robados de la red de su víctima si no se les paga en 48 horas, aunque dado que la demanda de rescate es tan grande, las víctimas pueden decidir que es demasiado para pagar.
La ambiciosa demanda de rescate y otras inconsistencias en sus técnicas de ataque, incluida la forma en que el sitio de filtración de datos no funciona realmente, podrían indicar que los que están detrás de AlumniLocker probablemente estén comenzando.
Todavía se desconoce cómo se distribuye exactamente Humble, pero los investigadores señalan que es probable que sea a través de ataques de phishing.
En un esfuerzo por presionar a las víctimas para que paguen el rescate, Humble amenaza a la víctima diciéndole que si reinicia su sistema, el Master Boot Record (MBR) se reescribirá, dejando la máquina inutilizable. Una segunda versión de Humble conlleva la misma amenaza, pero en cambio dice que esto sucederá si la víctima no paga después de cinco días.
Humble es inusual para el ransomware ya que se compila con un contenedor ejecutable (Bat2Exe) en un archivo por lotes. Lo que también es extraño es que utiliza Discord, un servicio de comunicaciones de voz, texto y video popular entre los jugadores, para enviar informes a su autor.
Ambas formas de nuevo ransomware son inusuales, pero ambas demuestran que el ransomware sigue siendo atractivo para los ciberdelincuentes que ven cómo las principales bandas están ganando tanto dinero y quieren hacer lo mismo.