Cabecera-v2-web.jpg

El ransomware CryptXXX ahora también roba tus contraseñas


Desde hace tiempo, el ransomware se ha convertido en el tipo de malware más peligroso de la red. Cuando este malware infecta un ordenador automáticamente comienza a cifrar todos los datos de la ví­ctima de manera que, cuando finaliza, pide el pago de un recate a cambio de la clave privada utilizada en el cifrado o, de lo contrario, los datos se perderán para siempre. Cada poco tiempo, estas amenazas se actualizan para ser más complicadas de detectar y de descifrar, sin embargo, en los últimos meses también hemos podido ver cómo el ransomware pasa de ser una amenaza única a cubrir más amenazas potenciales.

Expertos de seguridad han detectado una nueva versión del ransomware CryptXXX, concretamente la 3.100, que llega con un gran número de cambios y "mejoras" de manera que ahora es más eficaz a la hora de cifrar los archivos, difí­cil de detectar y, más preocupante, incluyo un módulo capaz de volcar las contraseñas de diferentes aplicaciones y enviarlas a un servidor controlado por los propios piratas informáticos.

Este nuevo módulo espí­a, llamado "StillerX", ha sido diseñado especialmente para robar contraseñas de bases de datos internas de un gran número de programas de uso diario. Mientras el ransomware hace de las suyas, este módulo extrae las contraseñas, tanto cifradas como en texto plano, de los programas compatibles y las enví­a automáticamente al servidor controlado por los piratas informáticos, donde se almacenan para procesarlas más adelante.


CryptXXX.jpg


Este módulo es capaz de recuperar las contraseñas de los principales navegadores web, gestores de descargas, clientes de correo electrónico, clientes FTP, plataformas de mensajerí­a, aplicaciones de poker online, VPN y todos los credenciales almacenados en el Administrador de Credenciales de Microsoft.

Además de las propias librerí­as del ransomware, el módulo espí­a depende de "stiller.dll," "stillerx.dll" y "stillerzzz.dll".


Cambios internos en CryptXXX muestran un desarrollo más maduro y preocupante

Además del módulo de robo de datos, esta última versión del ransomware ha llegado con otros muchos cambios que realmente preocupan a los expertos de seguridad. El primero de ellos es el cambio de la ventana de rescate, que hasta ahora utilizaba la de CryptoWall, como otros muchos, por una nueva propia.

Además, todos los algoritmos de cifrado han cambiado, dejando las herramientas que permití­an el descifrado de los datos de forma gratuita obsoletas, no funcionando con los datos cifrados por CryptXXX 3.100.

Por último, una función también preocupante es que este nuevo ransomware es capaz de encontrar otros equipos conectados a la red e infectarlos, de forma muy similar a como trabajan los gusanos que en los años 90 hicieron temblar las redes y que a dí­a de hoy aún sigue alguno activo imposible de eliminar.

Está claro que el ransomware está cambiando, y para mal. Lo que empezó siendo como una simple aplicación que bloqueaba la pantalla y engañaba a los usuarios para pagar una multa se está convirtiendo en una amenaza de lo más compleja que no solo es capaz de dejar al usuario sin sus datos más queridos, sino que también es capaz de robar todas sus contraseñas para, posteriormente, utilizarlas o venderlas.


Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11