martes, 30 de enero de 2018

Así es GandCrab, el nuevo ransomware que tiene características nunca vistas


Un nuevo ransomware llamado GandCrab ha sido lanzado recientemente. Uno más de los muchos que, por desgracia, existen. Sin embargo tiene peculiaridades que le hace ser único hasta el momento. Se distribuye a través de kits de exploits. Algunas de sus características no han sido utilizadas antes por ningún tipo de malware similar.

GandCrab, el primer ransomware que usa DASH


Una de estas singularidades es que ha sido el primer ransomware en aceptar la criptomoneda DASH. Vimos recientemente que los ciberdelincuentes habían dejado a un lado Bitcoin para aceptar pagos cuando infectan con ransomware a las víctimas.

En esta ocasión, los responsables de GandCrab piden un rescate a través de DASH. Esta es una de las muchas criptomonedas que podemos encontrar en la actualidad. Es una de las que se encuentran rondando el top 10 en capitalización.

DASH fue construido con la privacidad como objetivo. Por ello su rastreo es mucho más difícil por parte de la policía. Esto favorece que los ciberdelincuentes puedan usarla.

Como sabemos, la función del ransomware es cifrar los archivos y carpetas de un equipo. A cambio, el ciberdelincuente pide un rescate económico para liberarlos. Este rescate en muchos casos es mediante una criptomoneda. Bitcoin o, en este caso, DASH.

Recientemente vimos también el caso de HC7, el primer ransomware que utilizaba Ethereum como método de pago.

Volviendo a GandCrab, fue descubierto por el investigador de seguridad David Montenegro. Los investigadores rápidamente se unieron para analizar el ransomware y publicar sus resultados en Twitter. Desafortunadamente, en este momento no hay forma de descifrar archivos cifrados por GandCrab de forma gratuita.

Campaña de publicidad


De acuerdo a la información dada por los investigadores, GandCrab se está distribuyendo actualmente a través de una campaña de publicidad maliciosa llamada Seamless que luego introduce a los visitantes el kit de exploits de RIG. Este kit intenta utilizar vulnerabilidades en el software del visitante para instalar GandCrab sin su permiso.

Otra característica interesante y novedosa es el uso de GandCrab del dominio de alto nivel NameCoin .BIT. No es un TLD que está reconocido por la Corporación de Internet para Nombres y Números Asignados (ICANN, en sus siglas en inglés), sino que es administrado por el sistema de nombre de dominio descentralizado de NameCoin.

Esto significa que cualquier software que desee resolver un nombre de dominio que use .BIT tld, debe usar un servidor DNS que lo soporte. GandCrab hace esto haciendo consultas dns usando el servidor DNS a.dnspod.com, que está accesible en Internet y también se puede usar para resolver dominios .bit.

GandCrab utiliza estos dominios .bit como direcciones para sus servidores de comando y control.

Los desarrolladores de GandCrab están utilizando el DNS de NameCoin, ya que dificulta que las fuerzas de seguridad rastreen al propietario del dominio y desmantelen los mismos.

Como siempre decimos, la mejor protección frente al ransomware es realizar copias de seguridad frecuentemente. También el sentido común es importante. Esto es así ya que la mayoría de este tipo de malware requiere la interacción del usuario. Disponer de programas y herramientas de seguridad es vital para poder hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento de nuestro equipo.