"Black Kingdom", el peligroso ransomware que hace cualquier cosa


Black Kingdom no funciona como se esperaba, y eso lo hace aún más peligroso.

Un ransomware, como cualquier software, puede contener errores, lo que evitará que funcione correctamente. Con suerte, estos errores ofrecen a los investigadores la oportunidad de crear una herramienta que puede reparar el daño causado por el ransomware. Pero a veces esto último está tan mal hecho que parece perder su misión, para bien o para mal.

Te puede interesar: Recomendaciones para mantenerse seguro en internet

Este es el caso de "Black Kingdom", un ransomware recientemente conocido, que Marcus Hutchins ha rastreado. El investigador de Kryptos Logic lo detectó mientras investigaba ciberataques que explotan ProxyLogon, una serie de vulnerabilidades críticas en el software de Microsoft. Sin embargo, un grupo de hackers utiliza ProxyLogon para rebotar en las redes de sus víctimas y desplegar el malware.

Problema: Black Kingdom realmente no juega el papel que se supone que debe tener. Más o menos, sigue su guión, pero este guión estaba muy mal escrito. "El ransomware Black Kingdom es de lejos el peor que he visto (...) No detecta si alguna vez ha sido lanzado, por lo que todas las víctimas que he visto han sido en bucle al menos 4 veces", tuiteó Marcus Hutchins.

Detrás del oscuro nombre "Black Kingdom", los criminales parecen pies de níquel.

Normalmente, un ransomware debe cifrar los documentos sólo una vez, y luego depositar una nota de rescate en los dispositivos infectados con una manera de ponerse en contacto con los piratas informáticos. Si las víctimas pagan la cantidad exigida, los rescatadores prometen descifrar el contenido de los dispositivos infectados, es decir, reparar el daño que han causado. Al apilar las capas de cifrado, Black Kingdom hace que este trabajo de reparación sea mucho más laborioso, si no imposible. Como resultado, los criminales pueden ser incapaces de cumplir su promesa.

UN RANSOMWARE QUE LE IMPIDE VER LA DEMANDA DE RESCATE

Lo peor es que el Black Kingdom no siempre se lo perdió de la misma manera. Hutchins encontró por primera vez sistemas en los que el ransomware depositó una factura de rescate... no había cifrado el contenido del dispositivo. En otras palabras, los ciberdelincuentes exigieron un pago de $10,000 en bitcoin por una clave de descifrado que las "víctimas" no necesitaban, ya que en realidad no eran víctimas de nada.

Los desarrolladores de Black Kingdom se dieron cuenta de esto, y corrigieron la toma, como señala record media. A partir de ahora, el ransomware cifra bien los archivos. Excepto que cifra todos (todos) los archivos, incluso aquellos que no debería. Los desarrolladores no han realizado excepciones para archivos .exe, .dll y .sys. Estos archivos son necesarios para realizar todo tipo de funciones básicas en sus dispositivos, como simplemente iniciar una sesión. Como resultado, las víctimas del Black Kingdom no pueden iniciar sus servidores porque .sys archivos están cifrados y, por lo tanto, inactivos. Sin embargo, si las víctimas no pueden iniciar sus dispositivos, no pueden leer la nota de rescate y ponerse en contacto con los criminales. No tienen ninguna posibilidad de recibir un pago...

Según el Bleeping Computer, el ransomware ha reclamado al menos una docena de víctimas, y la empresa Emsisoft ha encontrado una manera de reparar parcialmente los daños causados. Queda por ver si los desarrolladores de Black Kingdom alguna vez lo convertirán en un ransomware funcional como los demás.

Publicar un comentario

0 Comentarios