Investigadores encontraron recientemente tres nuevos grupos de ransomware: Vohuk, ScareCrow y AESRT (también conocido como AERST). Estas familias típicas de ransomware se han dirigido cada vez más a los sistemas Windows. Investigación por Fortinet. Una mirada al ransomware Vohuk Cifra varios tipos de archivos y los hace completamente inutilizables. Agrega la extensión .Vohuk a los […]
Investigadores encontraron recientemente tres nuevos grupos de ransomware: Vohuk, ScareCrow y AESRT (también conocido como AERST). Estas familias típicas de ransomware se han dirigido cada vez más a los sistemas Windows.
Investigación por Fortinet.
Una mirada al ransomware Vohuk
Cifra varios tipos de archivos y los hace completamente inutilizables. Agrega la extensión .Vohuk a los archivos comprometidos y reemplaza los íconos uno de candado rojo.
También cambia el fondo de pantalla del escritorio por uno propio y deja un mutex distintivo, que evita que se ejecuten diferentes instancias de Vohuk en el mismo sistema. Se muestra una nota de rescate en el sistema de la víctima para contactar al atacante por correo electrónico con una identificación única asignada a cada víctima.
En una nota de rescate, se mencionaba Vohuk ransomware v1.3, lo que indica que el atacante ya lo actualizó varias veces.
El ransomware ScareCrow
Cifra los archivos en los equipos de las víctimas y agrega la extensión .CROW a los que estén afectados.
Los ataques de ScareCrow están relativamente extendidos en Alemania, India, Italia, Filipinas, Rusia y los EE. UU. La nota de rescate indica a las víctimas que se comuniquen con el atacante utilizando uno de los tres canales de Telegram proporcionados.
ScareCrow tiene algunas similitudes con Conti, como el uso del algoritmo CHACHA para cifrar archivos y el uso de la utilidad WMIC para eliminar instantáneas de volumen. Las similitudes sugieren que los desarrolladores de ScareCrow podrían haber usado el código fuente de Conti filtrado a principios de este año. Sin embargo, existen diferencias significativas en los códigos de ransomware, lo que indica que sse ha puesto un esfuerzo adicional en él.
Qué sabemos de AERST
Los investigadores encontraron otro ransomware nuevo, denominado AERST, que encripta archivos en máquinas comprometidas y agrega una extensión de archivo .AERST a los archivos afectados.
En lugar de dejar caer una nota de rescate típica, muestra una ventana emergente que incluye la dirección de correo electrónico del atacante.
La pantalla contiene un campo para ingresar la clave comprada requerida para descifrar los archivos. Además, elimina las instantáneas para evitar la recuperación de archivos.
Aún es pronto para comentar si las cepas de ransomware Vohuk, ScareCrow y AERST podrían convertirse en una amenaza a gran escala o permanecer como familias de ransomware típicas con una vida útil corta. Sin embargo, en tales ataques, las víctimas seguramente corren el riesgo de perder datos valiosos, lo que resulta en una pérdida financiera.
Los atacantes están lanzando campañas maliciosas para distribuir múltiples familias de malware en plataformas Windows y Android. Están utilizando una plataforma de la Darknet denominada Zombinder para vincular cargas maliciosas a aplicaciones legítimas de Android.