Un malware extorsionista de “clase premium” que apareció hace poco y sorprendió a los investigadores por su elaborada interfaz y alto nivel de realización, se ha detectado en varias empresas internacionales. El malware, que antes estaba dirigido exclusivamente a víctimas de habla rusa, ha empezado a lanzar ataques contra usuarios en Arabia Saudita, Austria y los Países Bajos.
Sólo hace un par de semanas, Spora penetraba en los sistemas de la víctima a través de spam malicioso en ruso, pero ahora se extiende a través de los paquetes de exploit, en particular RIG-v. Este último también es responsable de las recientes campañas, Cerber Locky y Sage.
El servidor malintencionado desde donde se reparte el malware, se usa en dos esquemas paralelos de propagación de Spora. Los expertos de Emsisoft creen que la presencia del parámetro “Campaign ID” indica que los autores de los ataques están haciendo un seguimiento de la efectividad de dos campañas de spam diferentes, o bien es una señal de que Spora la utilizan dos grupos diferentes, que alquilan el malware a sus creadores. Y aunque no está todavía claro si los creadores de Spora optaron por el modelo Ramson-as-a-Service, el malware se está convirtiendo en una amenaza mundial.
Spora impresiona por su madurez: el malware utiliza un cifrado de alto nivel y falsificaciones exactas de mensajes de correo electrónico, puede trabajar sin conexión a Internet y cuenta con una infraestructura sólida, que incluye un servicio de cobro de rescates, que por su facilidad de uso puede competir con sitios de comercio electrónico legítimo.
Por ejemplo, los usuarios del portal pueden utilizar varias opciones (descifrar un par de archivos gratis, descifrar todos los archivos, comprar “inmunidad” a las infecciones futuras de Spora, eliminar todos los archivos del malware en del equipo después del descifrado o restaurar un archivo específico). Todas las opciones están disponibles a través de una sola página, que también muestra el tiempo restante antes de la fecha límite de pago.
Este tipo de menú y el concepto modular de pago de rescate es una novedad en el mundo de la extorsión digital. Todos los pagos se efectúan con bitcoins, y la billetera de la víctima se vincula a la cuenta de la víctima en el portal de extorsión. Para garantizar la seguridad del pago, el sitio tiene un certificado SSL legítimo expedido por Comodo.
Fuente: Threatpost
“Esporas” maliciosas se expanden por el mundo