Los ciberdelincuentes han desarrollado ransomware que se puede migrar a todos los principales sistemas operativos y actualmente se utiliza en ataques dirigidos contra servidores de producción.
El nuevo nombre es PureLocker. Los investigadores de malware analizaron muestras para Windows, pero también se está utilizando una variante de Linux en los ataques.
El malware está cuidadosamente diseñado para evadir la detección, ocultando comportamientos maliciosos o dudosos en entornos sandbox, haciéndose pasar por la biblioteca criptográfica Crypto ++ y utilizando funciones que normalmente se ven en las bibliotecas para la reproducción de música.
Por ejemplo, si el malware determina que se está ejecutando en un entorno de depuración, se cierra de inmediato. Además, la carga útil se borra después de la ejecución.
Esto y más permitieron que PureLocker permaneciera bajo el radar durante meses seguidos. Durante las últimas tres semanas, PureLocker evadió la detección de motores antivirus en VirusTotal casi por completo.
El nombre del ransomware deriva del lenguaje de programación en el que está escrito, PureBasic, una elección inusual que brinda algunos beneficios, dicen los investigadores en un informe.
“Los proveedores de AV tienen problemas para generar firmas de detección confiables para los binarios PureBasic. Además, el código PureBasic es portátil entre Windows, Linux y OS-X, lo que facilita la orientación a diferentes plataformas”.
En lo que respecta al cifrado de archivos, PureLocker no es diferente de otros ransomware. Utiliza algoritmos AES y RSA y no deja ninguna opción de recuperación al eliminar las instantáneas.
El malware no bloquea todos los archivos en un sistema comprometido, evitando los ejecutables. Los elementos encriptados son fáciles de reconocer por la extensión .CR1 que se agrega después del proceso.
Se deja una nota de rescate en el escritorio del sistema en un archivo de texto llamado “YOUR_FILES”. No se da ninguna cantidad en el rescate; en cambio, las víctimas deben contactar a los ciberdelincuentes en una dirección de correo electrónico de Proton, una diferente para cada compromiso.
Los investigadores notaron que la cadena “CR1” está presente no solo en la extensión de los archivos cifrados, sino también en la nota de rescate y las direcciones de correo electrónico.
Una teoría es que la cadena es específica para el afiliado que difunde estas muestras específicas, ya que PureLocker es un negocio de ransomware como servicio.
