Cada cierto tiempo surge una nueva cepa de ransomware, más peligrosa y certera que las anteriores. La compañía de ciberseguridad Trend Micro ha encontrado en marzo y abril un nuevo tipo que ha estado dirigiéndose a sus víctimas mediante un enfoque minimalista.
A esta recién encontrada variante de ransomware la han bautizado como 'Rapture'. Actúa sirviéndose de herramientas que dejan una huella mínima.
Rapture tendría cierto parentesco con el ransomware Paradise. El volcado de memoria durante su ejecución muestra un archivo de configuración de clave RSA similar a este.
Para dificultar el análisis, los atacantes empaquetaron el ransomware Rapture utilizando Themida, un empaquetador comercial. Rapture requiere al menos un marco .NET 4.0 para una ejecución adecuada. Esto sugiere más similitudes con Paradise, que se sabe que se compila como un ejecutable .NET. Por este motivo, han denominado a la amenaza Rapture, una nomenclatura estrechamente relacionada con Paradise.
No obstante, aunque el nuevo ransomware comparte ciertas similutudes con el citado, su comportamiento es distinto.
La firma de seguridad descubrió que en algunos casos los atacantes colocaron el ransomware en una carpeta o unidad como un archivo .log. Rapture deja caer sus notas en cada directorio atravesado. Sus primeros seis caracteres parecen puestos de manera aleatoria, pero en realidad son configuraciones de cadena codificadas. Después, agrega la misma media docena de caracteres a los archivos cifrados.
La nota de rescate de Rapture mostraría ciertas similitudes con la variante Zeppelin, aunque no se encuentran otros elementos parecidos entre ambos.
Infección en cinco días
Trend Micro también ha hallado que toda su cadena de infección se extiende de tres a cinco días como máximo (contando desde el momento del descubrimiento de los comandos de reconocimiento). El malware primero inspecciona políticas de cortafuegos, comprueba la versión de PowerShell y comprueba si hay subprogramas Log4J vulnerables.
"El ransomware Rapture está ingeniosamente diseñado y tiene algunas similitudes con otras familias de ransomware como Paradise. Aunque sus operadores usan herramientas y recursos que están fácilmente disponibles, han logrado usarlos de una manera que mejora las capacidades de Rapture al hacerlo más sigiloso y más difícil de analizar", advierte la firma de seguridad.
"Como es el caso de muchas familias modernas, este tipo de ransomware bastante sofisticado está comenzando a convertirse en la norma en muchas campañas actuales", añaden.