FireCrypt, un malware extorsionista con funciones de DDoS

Aparte de cifrar archivos, el malware extorsionista FireCrypt también trata de llevar a cabo un ataque DDoS de poca potencia. El nuevo malware híbrido y polimorfo fue descubierto por investigadores de Malware Hunter Team y analizado por Lawrence Abrams de Bleeping Computer.

Según la descripción de BleepingComputer.com, el autor de FireCrypt crea archivos ejecutables únicos mediante el constructor BleedGreen, que permite camuflarlos como documentos DOC o PDF. Durante su inicio FireCrypt cierra de forma forzada el proceso del administrador de tareas y usa una llave AES de 256 bit para codificar archivos de 20 tipos, a los que después añade la extensión .firecrypt. Después, muestra a la víctima un mensaje que exige pagar un rescate de 500 dólares (en bitcoins).

Según los expertos, el mensaje es muy similar a la notificación de Deadly for a Good Purpose, un troyano extorsionista descubierto por Malware Hunter Team en octubre del año pasado. Con este predecesor Firecrypt comparte la misma dirección de correo electrónico de contacto y el monedero Bitcoin especificado por los delincuentes. No se excluye la posibilidad de que FireCrypt sea simplemente una versión deDeadly for a Good Purpose distribuida bajo un nuevo nombre.

La principal diferencia con otros bloqueadores-cifradores es la función adicional de DDoS. Después de pedir el rescate, FireCrypt se conecta a una dirección URL indicada en el código y empieza a descargar cierto contenido para guardarlo en archivos temporales. Según Bleeping Computer, la versión actual de Firecrypt envía solicitudes a pta.gov.pk, el portal oficial de la agencia gubernamental de Paquistán que controla el sector de las telecomunicaciones. Si la víctima no se da cuenta de estas acciones, el malware llena rápidamente la carpeta % Temp % con archivos basura descargados de este sitio. El continuo envío de solicitudes al mismo podría clasificarse como ataque DDoS de baja intensidad.

“Un atacante tiene que infectar a miles de víctimas para que el ataque DDoS tenga suficiente potencia para causar problemas en la web de la agencia gubernamental”, escribe el reportero de Bleeping Computer. “Por otra parte, todas las infecciones deben ocurrir simultáneamente, y las computadoras de la víctima tienen que estar conectadas a Internet para poder participar en el ataque DDoS “.

Abrams cree que el autor de FireCrypt puso el componente DDoS como un experimento, y que es poco probable que esta innovación interese a los demás hackers. “Un ataque DDoS bien ejecutado por un malware exige persistencia y discreción”, comenta el experto. “Esto no es compatible con una campaña de extorsión exitosa, que supone iniciar y detener la infección, mostrar el mensaje que exige el rescate y esperar el pago. Sólo unos pocos extorsionadores muestran cierta persistencia, y si lo hacen, es solo para mostrar la exigencia de rescate”.

La probabilidad de que el componente del escáner antivirus detecte la actividad DDoS, según Abrams, también reduce las posibilidades de éxito de FireCrypt como malware para lanzar ataques DDoS. “El cifrado del equipo hará que la víctima lo escanee en busca de malware, con lo que se descubrirá el componente DDoS”, explica Abrams y agrega: “Yo no creo que sea un método de ataque conveniente, si lo que se requiere es una presencia permanente en el sistema”.

Fuentes: Threatpost