Bitcoin Ransomware Educación: GlobeImposter

Los usuarios de ordenadores de todo el mundo ahora tienen un nuevo tipo de ransomware criptográfico con el que afrontar. GlobeImposter es un tipo de malware manchado en la naturaleza hace bastante tiempo. Sin embargo, en comparación con otros tipos de ransomware, no ha hecho mucho de un impacto hasta ahora. Eso puede cambiar muy pronto, como una nueva campaña malvertising ha comenzado a distribuir activamente esta carga útil. 

RANSOMWARE DE GLOBEIMPOSTER ES UN DOLOR EN EL CUELLO

Con tantos tipos diferentes de ransomware Bitcoin para hacer frente a estos días, es prácticamente imposible distinguir una amenaza de otra. Las víctimas de la campaña Blank Slate malspam probablemente no habrán notado que el grupo detrás del proyecto ha cambiado el ransomware que están distribuyendo. Hasta hace unas semanas, la campaña distribuía principalmente una variante de ransomware BTCWare que iba por el nombre de Aleta. Ahora, está distribuyendo activamente las cargas útiles de GlobeImposter.
No está claro por qué este cambio ocurrió tan repentinamente, aunque probablemente tuvo que ver con la clave de descifrado maestro BTCWare que se lanzó hace varias semanas. Al igual que cualquier buen empresario, los ciberdelincuentes tienen que mantenerse al día con las nuevas tendencias y aprovechar todas las oportunidades que puedan surgir en su camino. GlobeImposter ransomware parece haber sido una carga útil más deseable para distribuir en comparación con Aleta. Independientemente de la ideología detrás del cambio, la campaña Blank Slate malspam sigue hostigando a los usuarios de Internet de todo el mundo sin ningún signo de desaceleración.
Algunos pueden preguntarse por qué esta campaña particular de malspam se conoce como Blank Slate. Eso no es difícil de explicar, ya que los correos electrónicos enviados a los usuarios de todo el mundo no contienen ni sujeto ni cuerpo. Todos los usuarios que ven es un correo electrónico de una dirección de correo electrónico desconocida contienen un archivo adjunto .ZIP. Dentro de este archivo está otro archivo .ZIP que contiene un JavaScript. La ejecución de este script activará la descarga de la carga útil de GlobeImposter. ¡Para ayudar a evitar el malware, nunca abra archivos adjuntos de correo electrónico de un remitente desconocido!
La carga útil de GlobeImposter está alojada en múltiples plataformas. Hasta ahora, se han identificado dos ubicaciones de descarga designadas, aunque es posible que se creen "espejos" adicionales con el tiempo. El archivo JavaScript malicioso es bastante sencillo. Ambas ubicaciones de descarga se ofuscan, pero es posible que eventualmente se puedan revelar sus ubicaciones. Por ahora, no está claro si estos servidores están alojados en la darknet.
Una vez que un usuario está infectado con el ransomware GlobeImposter, él o ella observará los archivos que se cifran bastante rápido. Esa es la tendencia en todas las variedades de ransomware correctamente desarrolladas. Los archivos cifrados recibirán la extensión de archivo .crypt y requerirán que se restablezca una clave de descifrado a sus formatos originales. Hacerlo es mucho más difícil de lo que algunas personas pueden pensar, y no hay manera libre de descifrar ninguna versión de ransomware GlobeImposter en el momento actual.
A continuación se pide a las víctimas que se pongan en contacto con una dirección de correo electrónico específica y esperen más instrucciones. No está claro cuánto dinero hay que pagar para deshacerse de GlobeImposter. Esa cantidad puede variar dependiendo del número de archivos que se cifraron. Este es otro ejemplo de los desarrolladores de ransomware que se alejan de usar servidores de comando y control centralizados. Esto hará que sea mucho más difícil localizar al culpable responsable de este malware.

el merkle