Una nueva pieza de ransomware se está esparciendo rápidamente a través de toda China y a infectado a más de 100.000 computadoras en los últimos cuatro días, como resultado de un ataque de cadena de suministro.
La diferencia de este ransomware con el resto, es que este no está solicitando un pago en bitcoin, si no que lo están pidiendo en la moneda local China, el YUAN.
Hasta ahora los atacantes están solicitando el pago de 110 yuan, que equivale 16 dolares por el rescate de la información a través de WeChat Pay.
Ransomware + Password Stealer - A diferencia de los brotes de ransomware WannaCry y NotPetya que causaron un caos mundial el año pasado, el nuevo ransomware chino se ha dirigido a los usuarios chinos únicamente.
También incluye una capacidad adicional para robar las contraseñas de las cuentas de los usuarios de Alipay, NetEase 163, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang y sitios web de QQ.
Un ataque a la cadena de suministro: de acuerdo con la firma china de ciberseguridad y antivirus Velvet Security, los atacantes agregaron código malicioso al software de programación "EasyLanguage" utilizado por un gran número de desarrolladores de aplicaciones.
El software de programación maliciosamente modificado fue diseñado para inyectar código de ransomware en cada aplicación y producto de software compilado a través de él, otro ejemplo de un ataque de cadena de suministro de software para propagar el virus rápidamente.
Más de 100,000 usuarios chinos que instalaron cualquiera de las aplicaciones infectadas enumeradas anteriormente pusieron en peligro sus sistemas. Este ransomware cifra todos los archivos en un sistema infectado, excepto los archivos con extensiones gif, exe y tmp.
Uso de firmas digitales robadas: para defenderse de los programas antivirus, los atacantes firmaron su código de malware con una firma digital confiable de Tencent Technologies y evitan encriptar los datos en algunos directorios específicos, como "Juegos Tencent, League of Legends, tmp, rtl y programa".
Una vez cifrado, el ransomware saca una nota y les pide a los usuarios que paguen 110 yuanes a la cuenta WeChat de los atacantes en un plazo de 3 días para recibir la clave de descifrado.
Si no se paga dentro del tiempo mostrado, el malware amenaza con eliminar automáticamente la clave de descifrado de su servidor remoto de comando y control.
Además de cifrar los archivos de usuario, el ransomware también roba silenciosamente la credencial de inicio de sesión de los sitios web chinos populares y las cuentas de redes sociales y los envía a un servidor remoto.
También recopila información del sistema, incluido el modelo de CPU, la resolución de pantalla, la información de red y la lista de software instalado.
Con esta información, el equipo de seguridad de Velvet creó y lanzó una herramienta gratuita de descifrado de ransomware que puede desbloquear fácilmente archivos cifrados para las víctimas sin tener que pagar ningún rescate.
Los investigadores también lograron descifrar y acceder a los servidores de bases de datos de comando y control y MySQL, y encontraron miles de credenciales robadas almacenadas en ellos.
La diferencia de este ransomware con el resto, es que este no está solicitando un pago en bitcoin, si no que lo están pidiendo en la moneda local China, el YUAN.
Hasta ahora los atacantes están solicitando el pago de 110 yuan, que equivale 16 dolares por el rescate de la información a través de WeChat Pay.
Ransomware + Password Stealer - A diferencia de los brotes de ransomware WannaCry y NotPetya que causaron un caos mundial el año pasado, el nuevo ransomware chino se ha dirigido a los usuarios chinos únicamente.
También incluye una capacidad adicional para robar las contraseñas de las cuentas de los usuarios de Alipay, NetEase 163, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang y sitios web de QQ.
Un ataque a la cadena de suministro: de acuerdo con la firma china de ciberseguridad y antivirus Velvet Security, los atacantes agregaron código malicioso al software de programación "EasyLanguage" utilizado por un gran número de desarrolladores de aplicaciones.
El software de programación maliciosamente modificado fue diseñado para inyectar código de ransomware en cada aplicación y producto de software compilado a través de él, otro ejemplo de un ataque de cadena de suministro de software para propagar el virus rápidamente.
Más de 100,000 usuarios chinos que instalaron cualquiera de las aplicaciones infectadas enumeradas anteriormente pusieron en peligro sus sistemas. Este ransomware cifra todos los archivos en un sistema infectado, excepto los archivos con extensiones gif, exe y tmp.
Uso de firmas digitales robadas: para defenderse de los programas antivirus, los atacantes firmaron su código de malware con una firma digital confiable de Tencent Technologies y evitan encriptar los datos en algunos directorios específicos, como "Juegos Tencent, League of Legends, tmp, rtl y programa".
Una vez cifrado, el ransomware saca una nota y les pide a los usuarios que paguen 110 yuanes a la cuenta WeChat de los atacantes en un plazo de 3 días para recibir la clave de descifrado.
Si no se paga dentro del tiempo mostrado, el malware amenaza con eliminar automáticamente la clave de descifrado de su servidor remoto de comando y control.
Además de cifrar los archivos de usuario, el ransomware también roba silenciosamente la credencial de inicio de sesión de los sitios web chinos populares y las cuentas de redes sociales y los envía a un servidor remoto.
También recopila información del sistema, incluido el modelo de CPU, la resolución de pantalla, la información de red y la lista de software instalado.
Con esta información, el equipo de seguridad de Velvet creó y lanzó una herramienta gratuita de descifrado de ransomware que puede desbloquear fácilmente archivos cifrados para las víctimas sin tener que pagar ningún rescate.
Los investigadores también lograron descifrar y acceder a los servidores de bases de datos de comando y control y MySQL, y encontraron miles de credenciales robadas almacenadas en ellos.
