Resumen: Una nueva campaña de ransomware está siendo explotada activamente en la red. Apodada como Sugar, esta amenaza parece estar dirigida a ordenadores individuales pertenecientes a consumidores o a pequeñas empresas.
Sugar fue descubierto por primera vez en noviembre del 2021 por el equipo de ciberamenazas de Walmart, quienes afirman que el ransomware es distribuido con el modelo RaaS (Ransomware as a Service), que se basa en la suscripción del usuario a un servicio, que termina siendo un paquete de herramientas maliciosas previamente diseñadas para encriptar los dispositivos.
Es preciso destacar, que el nombre del ransomware proviene del sitio afiliado a la operación conocido como “sugarpanel[.]space” y utiliza un criptor con una versión modificada del algoritmo RC4.
Aunque aún no está claro como infecta a sus víctimas, cuando se lanza, el ransomware se conecta al sitio “whatismyipaddress.com” o a “ip2location.com” para obtener la dirección IP y ubicación geográfica de su objetivo. Posteriormente, Sugar descarga un archivo de “http://cdn2546713.cdnmegafiles[.]com/data23072021_1.dat” de 76 MB, cuyo uso aún no está claro para los investigadores.
Una vez hecho esto, el ransomware se conecta al servidor de mando y control para recibir o transmitir datos relacionados con el ataque.
Al momento de llevar a cabo el cifrado de datos, el ransomware encriptará la mayoría de los archivos empleando el algoritmo de cifrado SCOP. Todos los archivos cifrados tendrán añadida la extensión “.encoded01” a sus nombres originales. Durante esta etapa, el ransomware procederá a crear notas de rescate denominadas como “BackFiles_encoded01.txt”, que contienen un ID único, información sobre los archivos encriptados y un enlace a un sitio Tor.
En el sitio Tor, las víctimas encontrarán una dirección de bitcoin, junto con la información sobre como pagar el rescate, una sección de chat e información para otorgarles la capacidad de descifrar cinco archivos de manera gratuita.
Cabe mencionar que Sugar, a diferencia de otros grupos, tiene tarifas de rescate muy bajas, que pueden variar desde los cinco hasta los cientos de dólares.
Se le recomienda a todos los usuarios que mantengan sus sistemas al día y hagan uso de las mejores prácticas de ciberseguridad, ya que por el momento no existe ningún descifrador o herramienta capaz de descifrar los archivos de forma gratuita.
Recomendaciones: Algunas recomendaciones para evitar ser víctima de ataques ransomware son: · Mantener los sistemas actualizados · No dar click en enlaces sospechosos · No abrir archivos sospechosos · Constantemente crear copias de seguridad
Referencias: https://medium.com/walmartglobaltech/sugar-ransomware-a-new-raas-a5d94d58d9fb
|
SÍGUENOS