El ransomware cifrado es un tipo de malware que cifra los datos del usuario y luego pide un rescate para recuperarlo y, ahora está atacando con una nueva fórmula, según la investigación de Kaspersky Lab. La compañía de seguridad ha denominado “Onion” a este nuevo malware detectado ya que utiliza la red anónima TOR (The Onion Router) para ocultar su naturaleza maliciosa y hacer difícil el seguimiento de los actores que están detrás de esta campaña de malware.

TOR es una red de comunicaciones de baja latencia que, superpuesta sobre internet, permite actuar sin dejar rastro, manteniendo en el anonimato la dirección IP y la información que viaja por ella.

Mecanismo de cuenta atrás

Las mejoras técnicas lo han convertido en una amenaza realmente peligrosa y en uno de los cifradores más sofisticados de hoy, por lo que podría convertirse en el sucesor de CryptoLocker, CryptoDefence / CryptoWall, ACCDFISA y GpCode. Se trata de un nuevo tipo de ransomware cifrado que utiliza un mecanismo de cuenta atrás para asustar a las víctimas, que deben pagar por el descifrado de la información en Bitcoins. Los ciberdelincuentes ofrecen un plazo de 72 horas para realizar el pago, o todos los archivos se perderán para siempre.

Para transferir datos secretos e información de pago, Onion se comunica con los servidores de comando y control ubicados en algún lugar anónimo dentro de la red. Anteriormente, los investigadores de Kaspersky Lab habían visto este tipo de arquitectura de comunicaciones, pero sólo fue utilizada por unas pocas familias de malware bancario como 64-bit ZeuS mejorada con Tor.

"Parece que Tor se ha convertido en un sistema eficaz para comunicaciones y está siendo utilizado por otro tipo de malware. Ocultar los servidores de comando y control en la red Tor complica la búsqueda de los ciberdelincuentes, y el uso de un esquema criptográfico poco ortodoxo hace que sea imposible el descifrado, incluso si se intercepta el tráfico entre el troyano y el servidor. Todo esto, hace de Onion una amenaza muy peligrosa y uno de los cifradores más avanzados tecnológicamente que existen", afirma Fedor Sinitsyn, analista senior de malware de Kaspersky Lab.

Para que Onion llegue a un dispositivo, primero debe pasar a través de la red de bots Andrómeda (Backdoor.Win32.Androm). El bot recibe un comando para descargar y ejecutar otra pieza de malware de la familia Joleee en el dispositivo infectado. Este último software malicioso, a continuación, descarga el malware Onion en el dispositivo. Esta es sólo una de las posibles formas en que Kaspersky Lab ha observado hasta el momento de distribuir el malware.

Distribución geográfica

La mayoría de intentos de infección se han registrado en la CEI (comunidad de estados independientes de exrepúblicas soviéticas), pero también ha habido casos detectados en Alemania, Bulgaria, Israel, los Emiratos Árabes Unidos y Libia. Las muestras de malware más recientes admiten la interfaz en idioma ruso. Este hecho y el número de cadenas en el interior del cuerpo del troyano sugieren que los creadores de malware hablan ruso.

Recomendaciones para mantenerse seguro 

• Realizar copia de seguridad de archivos importantes: La copia de seguridad se debe realizar con regularidad y, por otra parte, las copias deben ser creadas en dispositivos de almacenamiento a los que se pueda acceder sólo durante este proceso (por ejemplo, un dispositivo de almacenamiento extraíble que se desconecte inmediatamente después de la copia de seguridad). Si no se siguen estas recomendaciones, los archivos de la copia de seguridad podrán ser atacados y cifrados por el ransomware de la misma forma que las versiones de los archivos originales.
• Instalar software antivirus: La solución de seguridad debe estar conectada en todo momento y todos sus componentes deben estar activos. Las bases de datos de la solución también deben estar actualizadas.