Este tipo de malware tiene la capacidad de bloquear la pantalla de una computadora o cifrar archivos; los atacantes, exigen a las víctimas el pago de un rescate para recuperar sus archivos y en ocasiones incluyen un límite de tiempo para aumentar la presión del pago.

Los primeros ataques de este tipo se denunciaron en Rusia en 2005 y no han parado desde entonces; de hecho se han propagado a todo el mundo y nuevas variantes siguen sumando víctimas.

Por ejemplo, el pasado 1 de junio la Universidad de California de San Francisco sufrió un ataque de ransomware y se vió obligada a pagar $1.14 millones a los hackers para recuperar sus archivos bloqueados.

La institución educativa mencionó que el ataque no afectó sus operaciones de prestación de atención al paciente, la red general del campus o el trabajo COVID-19 que realizan; sin embargo, los servidores UCSF utilizados por la Facultad de Medicina estaban encriptados.

El ataque se atribuye al grupo de hackers Netwalker, quienes de acuerdo con la BBC, exigían como pago inicial $3 millones de dólares; ante ello, la UCSF presentó una contraoferta de $780,000 argumentando que la pandemia de coronavirus había sido «financieramente devastadora» para la institución académica; al final, la negociación se cerró en $1.14 millones de dólares.

Una vez pagado el rescate, los cibercriminales proporcionaron una herramienta de descifrado y dijeron que eliminarían los datos robados de los servidores.

Otro grupo de hackers que también ha perpetrado ataques recientemente es el llamado ‘Cl0ud SecuritY’; sus víctimas son usuarios de dispositivos LenovoEMC/Iomega NAS que están exponiendo su interfaz de administración en Internet sin una contraseña.

Este grupo de criminales entró en los viejos dispositivos de almacenamiento conectados a la red (NAS) LenovoEMC (anteriormente Iomega), borró archivos y dejó notas de rescate pidiendo a las víctimas el pago de entre $200 y $275 para recuperar su información.

Hasta ahora se han identificado al menos 1000 intentos de extorsión de este tipo; en los cuales Cl0ud SecuritY, afirmó tener copia de los archivos de la víctima en sus servidores y amenazó con filtrar los archivos, si no se realizaba el pago del rescate en un plazo de 5 días; aunque no existe evidencia de que los datos hayan sido copiados en ningún sitio.

Otro claro ejemplo de recientes ataques de Ransomware es la nueva variante recientemente descubierta, la cual lleva por nombre ThiefQuest que además de encriptar los sistemas macOS, también instala un keylogger y un shell inverso para un control total sobre los hosts infectados.

Con ThiefQuest los hackers tienen la capacidad de mantener el control total sobre el host infectado, incluso cuando las víctimas pagan el rescate.

Diversos investigadores se encuentran buscando alguna debilidad de este ransomware con el objetivo de ayudar a las víctimas a recuperar sus archivos, sin tener que realizar el pago del rescate.

Cabe mencionar que ThiefQuest fue encontrado oculto en software pirata; cargado en portales de Torrent y foros en línea, como una versión pirateada de la aplicación de producción musical Ableton, el software de mezcla de DJ Mixed In Key y la herramienta de seguridad Little Snitch; aunque se cree que es distribuido a través de muchas otras aplicaciones.

ThiefQuest es la tercera variedad de ransomware dirigida exclusivamente a usuarios de macOS, después de KeRanger y Patcher.

 

 

BIBLIOGRAFÍA:

https://www.zdnet.com/article/university-of-california-sf-pays-ransomware-hackers-1-14-million-to-salvage-research/

https://www.zdnet.com/article/a-hacker-gang-is-wiping-lenovo-nas-devices-and-asking-for-ransoms/

https://www.zdnet.com/article/new-evilquest-ransomware-discovered-targeting-macos-users/