Operación colaborativa detiene una campaña del programa chantajista WildFire

La iniciativa No More Ransom ha publicado las llaves de descifrado de otro programa chantajista (ransomware) esta semana. Gracias a ello, las víctimas del programa chantajista WildFire ya pueden recuperar sus archivos sin pagar a los atacantes.

La Policía Nacional Holandesa informó el miércoles que cuando derribó los servidores de comando y control de WildFire también confiscó 5.800 llaves de descifrado, incluyendo alrededor de 3.000 llaves para infecciones en Holanda y 2.100 para infecciones en Bélgica.

Wildfire, como la mayoría de los programas chantajistas, se propaga mediante correos spam maliciosos. Pero, a diferencia de otras cepas de ransomware, los correos están escritos en “holandés perfecto”, explicó Jornt van der Wiel, investigador de seguridad del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab.

El ransomware Wildfire, al igual que programas como GNLocker y Zyklon, ataca principalmente a víctimas en Holanda y Bélgica. Los atacantes de WildFire utilizan un dominio holandés falso e incluyen la dirección de la compañía atacada en el cuerpo del correo. Esta no es una operación común, pero aumenta las probabilidades de que la víctima abra el mensaje, dijo van der Wiel.

Los mensajes dicen ser de una compañía de transportes que quiere entregar un paquete. Piden a las víctimas que llenen un formulario para organizar la entrega. Los documentos, alojados en un dominio holandés de aspecto sospechoso, están alterados con macros que, si se activan, descargan y ejecutan el programa chantajista.

Entonces, WildFire cifra los archivos del usuario con AES en modo CBC y, la mayoría de las veces, pide a los usuarios 299 euros para descifrarlos. Si el usuario ignora el mensaje por demasiado tiempo – casi siempre se impone un límite de ocho días – el precio sube a 999 euros.

Al trabajar en conjunto con la Policía Nacional Holandesa, van der Wiel logró analizar códigos del panel de la red zombi del programa chantajista que determinan que WildFire no infecte equipos en Rusia, Ucrania, Bielorrusia, Latvia, Estonia o Moldavia para evitar atraer la atención de sus autoridades locales.

El programa ha tenido éxito aún sin entrar a esos países; en sólo un mes ha logrado infectar 5.700 equipos. Los usuarios de 236 de estos equipos pagaron para recuperar sus datos lo que dio a los cibercriminales ganancias de alrededor de 78.700 dólares, o 70.000 euros. Si los atacantes hubiesen seguido con sus operaciones, habrían conseguido 80.000 dólares por mes.

Estas últimas semanas, el programa chantajista ha atacado a usuarios de Holanda el 50% de las veces y a residentes de Bélgica el 36% de los casos. De ahora en adelante, las víctimas infectadas por el programa chantajista serán redirigidas a NoMoreRansom.org, donde recibirán instrucciones para descifrar sus archivos.

La iniciativa No More Ransom se lanzó el mes pasado para educar a los consumidores sobre los riesgos del ransomware. El proyecto, que es fruto de una colaboración entre la Europol, la Policía Nacional Holandesa, Intel Security y Kaspersky Lab, se ha convertido en un repositorio de llaves de descifrado de programas como WildFire, Chimera, Teslacrypt, Shade y una variante de CoinVault que atacaba en Holanda.

Hace casi un año, la Unidad de Crímenes Tecnológicos Avanzados de Holanda solicitó la ayuda de los investigadores de Kaspersky Lab para arrestar a dos individuos en Holanda responsables de las operaciones maliciosas de CoinVault. Como WildFire, los atacantes de CoinVault se comunicaban con los usuarios en un holandés perfecto, lo que indicaba que tenían conexiones con cibercriminales en Holanda.

“La incautación de las llaves de descifrado de WildFire es una prueba más de que la lucha contra el cibercrimen en general, y contra el ransomware en particular, es más exitosa cuando es fruto de una colaboración”, dijo el miércoles John Fokker, Coordinador del Equipo Digital de la Unidad de Crímenes Tecnológicos Avanzados de la Policía Nacional Holandesa. “La policía de Holanda se esforzará por ayudar a las víctimas de ransomware investigando los casos, derribando las infraestructuras criminales y distribuyendo llaves de descifrado”.

Fuentes Threatpost