Hasta ahora, el objetivo de los cibercriminales había sido el de robar la información y las credenciales de los usuarios. El caso es que los nuevos virus también persiguen otro propósito: el de secuestrar los ordenadores para sacarles el máximo provecho posible.
Ahora expertos en ciberseguridad de la firma de seguridad Trend Micro acaban de descubrir un nuevo virus. Lo han bautizado como Virobot y es capaz de reclutar los ordenadores como parte de su botnet masiva. En realidad, estamos hablando de una amenaza de ransomware, últimamente muy socorrida por parte de los ciberdelincuentes.
Al acceder a las entrañas de los equipos, su objetivo es claro: encriptar todos los archivos que se encuentran en el dispositivo de las víctimas y exigir un rescate económico. De este modo, si las víctimas quieren recuperar los archivos (o por lo menos intentarlo), tienen que pagar la cantidad indicada por los piratas. Ocurre que, muchas veces, la buena voluntad por parte de las víctimas no sirve para nada, porque finalmente terminan sin recuperar los archivos.
¿Cómo opera Virobot?
En este caso, Virobot encripta la computadora y envía un mensaje de rescate, en el que exige unos 520 dólares en bitcoin. El caso es que, mientras el ordenador se encuentra bloqueado, este virus también toma el control de Microsoft Outlook para enviar mensajes de correo electrónico a la lista de contactos del usuario. Son mensajes de spam que, por si las moscas, incluyen una copia de Virobot. El objetivo que persiguen con esto es el de seguir extendiendo los tentáculos de este virus.
No es el primer ataque de estas características que causa grandes daños. Si lo recuerdas, el de WannaCry en 2017 fue precisamente un ataque de malware que infectó a cientos de miles de ordenadores en todo el mundo.
Los botnets pueden ser letales. En aquél momento se vieron afectadas las redes y los servicios de hospitales, universidades y aeropuertos. Lo mismo ocurrió en 2016 en Estados Unidos, cuando unos piratas informáticos dejaron el país sin conexión a Internet.
El peligro de los archivos adjuntos
En esta ocasión, los usuarios son engañados a través de un mensaje de correo electrónico. En este se les pide que descarguen un archivos adjunto, que se encarga inmediatamente de instalar el ransomware. Este genera una clave de cifrado y descifrado aleatoria, que envía a un servidor de control y comando remoto (C&C Server).
Los archivos a los que apunta Virobot pueden tener las siguientes extensiones, así que la amenaza puede pasar perfectamente desapercibida para los usuarios: TXT, DOC, DOCX, XLS, XLSX, PPT, PPTX, ODT, JPG, PNG, CSV, SQL, MDB, SLN, PHP, ASP, ASPX, HTML, XML, PSD, PDF y SWP.
En cuanto la operación de descarga e instalación del malware ha finalizado, los usuarios ven cómo aparece una nota escrita en francés en la que se solicita el consabido rescate. Hay que indicar, eso sí, que los expertos de Trend Micro consideran extraño que esté en francés, cuando la campaña de ransomware en cuestión tiene por objetivo a los usuarios estadounidenses.
Pero ojo, que este no es el primer ransomware que sale a escena con texto en francés. A finales de agosto se detectó otra cepa de ransomware a la que llamaron PyLocky, diseñada para imitar otro ransomware llamado Locky.
En cualquier caso, no dejes de mantener la alerta. Es importante evitar la descarga de archivos adjuntos que sean extraños o de dudosa procedencia, puesto que pueden tratarse de una de estas amenazas de ransomware o de cualquier otro virus, dispuesto a hacer trizas tu ordenador.
