Malware como spyware y virus han estado alrededor desde mediados de los años 90, y aunque una gran molestia, muchos usuarios apenas notan que han sido infectados o se han filtrado sus datos. En los últimos años, a medida que los delitos cibernéticos han evolucionado de hacktivismo y los niños del guión, Internet ha visto el surgimiento de una nueva amenaza: ransomware.
Las técnicas utilizadas por ransomware siguen siendo sobre todo las mismas que con spyware: clickbait y falsos correos electrónicos utilizando ingeniería social para engañar a los usuarios en la apertura de un archivo adjunto malicioso o después de un enlace a un sitio infectado.
En lugar de mentir inactivo, recoger información o diseminar la infección en el fondo, ransomware cifra el disco duro de la víctima y muestra un mensaje de rescate pidiendo dinero a cambio de desbloquear la unidad del usuario. La unidad cifrada también disuade a los usuarios de simplemente tratar de eliminar el malware, ya que al hacerlo deja sus archivos encriptados e inrecuperables.
La variante Kovter añade una capa adicional de ingeniería social al hacer que parezca que el sistema ha sido bloqueado por las autoridades (Departamento de justicia, FBI y seguridad nacional) porque se ha encontrado contenido ilegal en la computadora. Los usuarios son llevados a creer que el contenido encontrado en su computadora viola las leyes federales sobre la explotación de menores y sugiere un serio tiempo de cárcel si el caso va a la corte. Afortunadamente, la infracción se considera desmotivada para que los usuarios victimizados puedan comprar su camino fuera de la corte pagando una multa.
La variante Kovter se diferencia de otras ransomware policiales recogiendo datos del navegador web de la víctima y buscando activamente cualquier sitio que pueda contener material pornográfico. A continuación, la artesanía de esta información en el mensaje de la policía para que sea más creíble. Si no se encuentra ningún dato Kovter, añade una URL porno aleatoria.
Palo Alto Networks ha grabado muchas firmas de variantes para Kovter y puede ayudar a proteger su organización, pero por favor asegúrese de que los extremos estén protegidos y los usuarios sepan que necesitan tener cuidado.
Para obtener más información:
Leer más sobre cómo funciona ransomware en Palo Alto Networks Unit 42
Leer más sobre Kovter y otras firmas de amenazas en la bóveda de amenazas de Palo Alto Networks
¿Tienes algún archivo en el que no confíes? Seguir adelante y subirlos a Wildfire