A principios de este año, los investigadores notaron el nuevo extorsionista Spora, que al principio atacaba solamente a los usuarios de habla rusa, pero después comenzó a propagarse en varios países del mundo. Desde el principio, la peculiaridad de este malware era que contaba con un portal de alta calidad para el pago del rescate. Ahora, los creadores de Spora se están posicionando como uno de los operadores más desarrollados y “profesionales” de campañas de extorsión: invierten en el desarrollo de soporte técnico cualificado y tienen una especie de “relaciones públicas” para consolidar su fama de ser el extorsionista más “orientado hacia el cliente”.
Una de las características “únicas” de Spora es una ventana de chat con soporte al cliente, donde las víctimas se comunican con los extorsionadores. Los investigadores lograron obtener acceso a las páginas de algunas de las víctimas y hacer un seguimiento de su comunicación con los delincuentes.
La asistencia técnica se realiza en los idiomas ruso e inglés. Los operadores tienen facilidad de palabra, tratan de evitar la escalada de situaciones críticas en la correspondencia con los “clientes” enfurecidos y dan respuestas oportunas y cualificadas a sus preguntas.
Los investigadores también notaron que los extorsionadores son muy fieles a las víctimas y tienden a prolongar o incluso cancelar la fecha límite para pagar el rescate a las víctimas que dejaron una opinión positiva sobre el trabajo de los operadores de la campaña en el foro de Bleeping Computer (aunque por el momento nadie haya aprovechado esta “generosidad”). También ofrecen “descuentos” y descifrar sin costo los archivos de particular importancia.
Las opiniones positivas son una estratagema de marketing inteligente que explota el concepto de la confianza expresada por los “clientes”. Obviamente, estas opiniones pueden convencer a las demás víctimas que si pagan un rescate, tendrán la seguridad de poder descifrar sus archivos. Se sabe de muchos casos en los que incluso después de pagar el rescate las víctimas no pueden descifrar sus archivos, y esto causa daños a la reputación de la misma idea de los ataques de extorsión, ya que su éxito depende precisamente en que la víctima esté segura de que al pagar el rescate resolverá su problema.
Otra reverencia a las víctimas es un servicio aparte que los operadores Spora proporcionan: por un pago adicional, pueden adquirir la “inmunidad”, es decir, protección contra infecciones posteriores. El cargador de esta opción crea un archivo con el mismo nombre que el de la primera infección de Spora. La infección posterior de Spora detecta el identificador y no se instala en el equipo.
Además, según datos de MalwareHunter, hubo un caso en el que los desarrolladores Spora ofrecieron un descuento del 10 por ciento por descifrar los archivos de una compañía que tenía más de 200 dispositivos infectados. Según los investigadores, la atención al cliente de Spora está mejor organizada que la de muchas empresas de TI.
El número de infecciones de Spora está creciendo, y aunque la magnitud de su propagación no ha alcanzado las cifras de los célebres cifradores Cerber y Locky, Spora tiene todas las posibilidades de lograr el mismo “éxito”. Todavía no se ha desarrollado un decodificador para Spora.
Fuentes: Threatpost
Spora, un extorsionista orientado hacia los clientes