Malware-como-un-servicio es un modelo de renta o venta de malware que prácticamente facilita a toda persona el convertirse en cibercriminal de forma fácil y rápida, sin requerir conocimientos técnicos ni dinero que invertir.
Y el negocio delictivo sigue creciendo. Ya se ha empezado a ofrecer Ransomware-como-un-servicio (RaaS). Apenas el mes pasado los expertos de McAfee descubrieron Tox, un kit para hacer ransomware en sólo tres pasos.
Ahora los expertos de Sensecy han advertido sobre otro RaaS llamado ORX-Locker que permite la generación de ransomware que evade al antivirus, e infecta y bloquea el computador, y por supuesto exige el pago de dinero para desbloquear el sistema y rescatar los archivos afectados. Usando una ventana emergente o popup, ORX informa al usuario que sus archivos están cifrados y bloqueados y exigiendo el pago del rescate en un plazo de 96 horas para no dejar irrecuperables los archivos.
La plataforma RaaS para ORX sólo requiere el registro del cibercriminal o aspirante a cibercriminal para infectar sistemas, bloqueando mediante cifrado los archivos y exigir el pago de rescate para el desbloqueo. Del pago del rescate un porcentaje se queda con el prestador de servicios RaaS y el resto para el cibercriminal.
El ransomware es generado automáticamente después de introducir un número de identificación, indicar el precio de rescate (el mínimo para ORX es de $75 USD) y hacer clic en crear EXE. Es generado un archivo ZIP con el malware que el usuario entonces podrá distribuir a las víctimas.
Según los investigadores de Sensecy, ORX es servido desde sitios universitarios y no lucrativos. Han identificado las siguientes direcciones como parte de la infraestructura C&C:
- 130[.]75[.]81[.]251 – De la Universidad Leibniz de Hanover
- 130[.]149[.]200[.]12 – De la Universidad Técnica de Berlin
- 171[.]25[.]193[.]9 – De DFRI (Es una organización sueca sin fines de lucro que trabaja por los derechos digitales)
- 199[.]254[.]238[.]52 – De Riseup (Es una organización que proporciona herramientas de comunicación en línea para personas y grupos que trabajan por el cambio social liberador)
El ransomware descarga el sistema cliente TOR, desde el sitio web del proyecto TOR, y lo usa para transmitir los datos utilizando los servicios ocultos de TOR. El ransomware cifra los archivos de la víctima y los identifica con la extensión .LOCKED. Después de cifrarlos borra los archivos originales. Entonces aparece el mensaje emergente informando del bloqueo de los archivos y exigiendo el pago del rescate para el cual el usuario tiene 96 horas después de lo cual los archivos son irrecuperables.
Las instrucciones de pago están contenidas en un archivo .HTML depositado en el Escritorio del computador. Contiene un ID de pago y un enlace para hacerlo en la red onion. Ahí la víctima recibirá más instrucciones para completar el pago por el rescate de los archivos.
No es recomendable ceder a la amenaza de extorsión del cibercriminal ya que hacerlo además de fomentar la conducta ciberdelictiva no garantiza la recuperación de los archivos y sí la continuidad de la extorsión.
Es recomendable mantener respaldos de información, hacerlos de forma periódica y en medios de almacenamiento externos. También mantener actualizado el software anti-virus y complementar éste con software anti-malware y anti-exploit, como Malwarebytes.