Una aplicación falsa de rastreo de contactos COVID-19 oculta Unicorn Ransomware

Unicorn Ransomware Covid-19 PC App

Por lo general, puedes decir mucho sobre un cibercriminal por sus ataques. Los trucos que usan a menudo nos dan una buena idea de cuán sofisticado es el adversario, pero una campaña reciente que distribuye el ransomware Unicornio demostró que a veces, la apariencia puede ser engañosa.

El ransomware Unicorn llega a las farmacias italianas

El ataque fue detectado por primera vez por un investigador de seguridad con el apodo JamesWT. Parece estar dirigido directamente a las farmacias italianas, y está aprovechando la crisis de COVID-19 para engañar a los usuarios para que instalen una cepa de ransomware relativamente nueva llamada Unicorn.

También conocido como F *** unicorn, el malware parece haber sido creado especialmente para este propósito, y parece que el ataque es lo suficientemente grande como para justificar un aviso del Equipo de Respuesta a Emergencias Informáticas de Italia (CERT).

Los hackers se han superado a sí mismos en lo que respecta a la ingeniería social.

Comienza con un correo electrónico que supuestamente proviene de la Federación Italiana de Farmacéuticos. Dice que la Federación está lanzando una versión beta de una aplicación para PC que proporciona datos en tiempo real sobre la propagación del nuevo coronavirus. Hay un enlace de descarga, y los piratas informáticos han utilizado una técnica llamada typosquatting para que la URL se vea más convincente.

El sitio web de la Federación Italiana de Farmacéuticos es http://www.fofi.it/, y el archivo ejecutable está alojado en hxxtp: //www.fofl.it (con una "L" en minúscula en lugar de una "i"). Al usar un dominio visualmente similar, es menos probable que la víctima note que algo está mal. Hay aún más tácticas para mantener la atención lejos de la actividad maliciosa.

Una vez iniciado, el archivo malicioso muestra un mapa con datos que parecen haber sido copiados de la Universidad Johns Hopkins. De ninguna manera es una nueva táctica, pero es casi seguro que mantendrá a la víctima distraída mientras el ransomware está encriptando los archivos de la PC infectada.

Hasta ahora, parece que el ataque ha sido lanzado por un hacker profesional que sabe lo que están haciendo. Sin embargo, cuando los expertos diseccionaron el ransomware y vieron cómo funciona, se dieron cuenta de que el atacante probablemente no sea tan sofisticado.

El ransomware Unicornio no es una amenaza sofisticada

Los investigadores sospechan que el atacante es italiano. Hay una clara falta de errores gramaticales en el correo electrónico de phishing, y algunos artefactos que quedan en el código sugieren que la persona que escribió el malware se llama Leonardo.

Leonardo parece ser un fanático de la mitología griega. La nota de rescate anuncia que la serpiente del personal de Asclepio está molesta y que está por llegar una nueva era. El cifrado de los archivos se compara con el incendio de Prometeo, y se le dice a la víctima que al pagar un rescate de € 300 (alrededor de $ 330), se les da la oportunidad de redimirse por "años de pecados y abusos".

La nota de rescate incluye una dirección de bitcoin donde debe ir el dinero, y también hay una dirección de correo electrónico que las víctimas deben usar para ponerse en contacto con los piratas informáticos una vez que se paga el rescate. Una verificación rápida revela que hasta ahora, la dirección de bitcoin incluida en la nota de rescate no ha registrado transacciones, lo cual es igual de bueno porque la dirección de correo electrónico de los hackers parece no ser válida. Parece que Leonardo (o quien esté sentado al otro lado del ransomware Unicornio) no tiene absolutamente ninguna intención de ayudarlo a recuperar sus archivos.

Afortunadamente, realmente no necesitas su ayuda. Un análisis del ransomware muestra que la contraseña utilizada para descifrar los archivos se envía en texto sin formato y se puede recuperar de los registros de comunicación.

Las fallas en el ransomware Unicornio compensan en cierta medida las ingeniosas técnicas de ingeniería social y hacen que el ataque sea un poco menos peligroso. Sin embargo, la campaña no debe subestimarse. En cualquier momento, los atacantes pueden cambiar a una variedad de ransomware más potente y causar todo tipo de problemas.

May 28, 2020
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.