Un grupo de ciberdelincuentes está expandiendo una variedad de ransomware por medio de falsas actualizaciones del sistema operativo Windows 10.
Según ha descubierto BleepingComputer se trata del malware de rescate Magniber, que ha logrado introducirse en los equipos mediante enlaces de descarga de Windows disponibles en páginas web ilegales.
Varios usuarios han reportado problemas con actualizaciones distribuidas con varios nombres aparentemente válidos, como son ‘Win10.0_System_Upgrade_Software.msi’ y ‘Security_Upgrade_Software_Win10.0.msi’.
Otros archivos de descarga que se presentan en estas páginas web como supuestas actualizaciones de: Windows 10 son ‘System.Upgrade.Win10.0-KB47287134.msi’, ‘System.Upgrade.Win10.0-KB82260712.msi’, ‘System.Upgrade.Win10.0-KB18062410.msi’ y ‘System.Upgrade.Win10.0-KB66846525.msi’.
De acuerdo con los datos registrados por VirusTotal, el antivirus gratuito que analiza archivos y páginas web, esta campaña de ransomware comenzó el pasado 8 de abril y ha tenido una distribución masiva a nivel mundial.
Una vez descargado este malware, es capaz de cifrar los archivos relevantes del sistema y agregar una extensión aleatoria de ocho caracteres en ellos, finalizada en ‘g.gtearevf’.
Asimismo, se crea un archivo HTML llamado ‘README.html’ que contiene las instrucciones sobre cómo acceder al sitio de pago de Magniber, llamado My Decryptor, para pagar un rescate por los archivos robados.
De acuerdo con los datos recopilados por BleepingComputer, la mayoría de las demandas de rescate han sido de aproximadamente 2.500 dólares (unos 2.375 euros) o 0,068 bitcoins.
Por el momento, esta campaña de ransomware está dirigida principalmente a estudiantes y clientes del sistema operativo de Microsoft, en lugar de a empresas, donde habitualmente se produce este tipo de fraudes.
Ciberataques a Ucrania
En los últimos días se supo que al menos seis actores Estado-nación alineados con Rusia lanzaron más de 237 operaciones de ciberataques contra Ucrania poco antes del inicio del conflicto bélico, mediante ataques de tipo phishing con los que poder robar credenciales y explotar aplicaciones mediante control remoto.
Esta es una de las conclusiones a las que ha llegado Microsoft en un reciente informe en el que detalla la actividad llevada a cabo por los agentes maliciosos rusos en el país vecino.
Con este informe, la compañía pretende proporcionar información acerca del alcance, la escala y los métodos utilizados por los ciberdelincuentes rusos como parte de la guerra híbrida a gran escala en Ucrania y proporcionar estrategias a las organizaciones en riesgo de sufrir estos ataques.
Microsoft ha señalado que al menos seis actores rusos de amenazas persistentes avanzadas (APT) han llevado a cabo ataques destructivos y operaciones de espionaje cibernético para interrumpir o degradar las funciones del Gobierno ucraniano.
En este sentido, la compañía señala que el 1 de marzo, el día en que Rusia anunció su intención de atacar una torre de televisión en Kiev, operadores asociados con el Departamento Central de Inteligencia ruso (GRU, por sus siglas en inglés) atacaron cientos de sistemas del Gobierno ucraniano, así como de organizaciones financieras y empresas energéticas.
El informe puntualiza que se registraron cerca de 40 ataques destructivos, de los que 32 % fueron dirigidos a organizaciones gubernamentales tanto nacionales como locales y regionales.
Por otro lado, el 40 % de los ataques tenían como destino organizaciones del sector de las infraestructuras, lo que podría haber tenido efectos negativos en el ejército, la economía y la ciudadanía ucraniana.
Microsoft ha advertido de que estos ataques “están probablemente dirigidos a socavar la voluntad política de Ucrania y la capacidad de continuar la lucha, al tiempo que facilitan la recopilación de inteligencia que podría proporcionar ventajas tácticas o estratégicas a las fuerzas rusas”.
Además de las instituciones, estos ciberataques han tratado de interrumpir el acceso de la población a la información fiable, comentando la expansión de las noticias falsas (fake news), y a servicios esenciales críticos.
*Con información de Europa Press.