Ransomware orientado a mercados de habla hispana

De acuerdo con el último reporte “Ransomware Roundup” de FortiGuard Labs, el laboratorio de inteligencia de amenazas de Fortinet, se ha visto nueva actividad del ransomware Inlock dirigida a mercados de habla hispana y una nueva variante del ransomware Xorist que parece apuntar a Cuba.

FortiGuard Labs recopila datos sobre variantes de ransomware que están teniendo alta actividad se acuerdo a un conjunto de datos de recolección propia y de la industria. Con esta información se elabora el reporte bisemanal “Ransomware Roundup” que brinda perspectivas sobre el panorama cambiante del ransomware, junto con las soluciones de Fortinet que protegen contra esas variantes.

A continuación un detalle del último reporte:

• Plataformas afectadas: usuarios de Microsoft Windows
• Impacto: cifrado de archivos en dispositivos comprometidos y exigencia de rescate por el descifrado
• Nivel de gravedad: alta

Nueva variante del ransomware Inlock
Inlock es un ransomware típico que encripta archivos en una máquina comprometida y exige un rescate de la víctima a cambio de recuperar los archivos afectados. Los documentos cifrados por esta última variante tienen una extensión de archivo ".inlock". Luego deja una nota de rescate titulada READ_IT.txt, que contiene un mensaje de rescate en español, lo que hace suponer que está dirigido a víctimas en países de habla hispana como los de América Latina y parte del Caribe.

Una aparente falla de diseño en el ransomware Inlock es que no proporciona ninguna información de contacto para que las víctimas puedan comunicarse con el atacante para negociar el descifrado de archivos. Sin información de contacto disponible del atacante, las víctimas no pueden recuperar sus archivos cifrados.

Nueva variante del ransomware Xorist

FortiGuard Labs también descubrió recientemente una nueva variante del ransomware Xorist, este ransomware ha estado en actividad durante al menos cinco años y algunos informes sugieren que su vida útil se ha acercado a una década.

Se ha descubierto recientemente una nueva variante del ransomware Xorist, ejecutable a través de una campaña de phishing que parece apuntar a víctimas en Cuba. El archivo ejecutable del ransomware se llama "Ley del Presidente y Vicepresidente de la República de Cuba.pdf.exe". Esta campaña se envió coincidentemente con la distribución del archivo PDF legítimo "Ley del Presidente y vicepresidente de la República de Cuba.pdf" que está etiquetado como la “Gaceta Oficial de la República de Cuba” sobre la Asamblea Nacional del Poder Popular celebrada a fines de 2020.

El atacante creó este archivo para distribuir la variante Xorist, un PDF falso que intenta engañar a las víctimas haciéndoles creer que han abierto un archivo legítimo emitido por el gobierno cubano. A continuación la imagen del archivo falso:

El ransomware también reemplaza el fondo de pantalla del escritorio con un mensaje de rescate e incluye un código QR con la dirección de la billetera Bitcoin del atacante. Al momento de publicar el reporte, esta billetera no había registrado ninguna transacción.

¿Qué hacer para protegerse? Los clientes de Fortinet ya están protegidos contra estas variantes de ransomware a través de los servicios de filtrado web, antivirus, FortiMail, FortiClient y FortiEDR.