Red Tor, ‘refugio’ para el virus másBITCOIN: sofisticado del mundo que extorsiona bitcoines

062e74c24b039e930a040c47679f5b47_article


Critroni, descubierto en junio y calificado por especialistas de Kaspersky Lab como “el virus ‘de rescate’ más sofisticado del mundo”, usa en secreto la red de navegación anónima Tor para esconder comunicaciones con su servidor de mando y control.

Critroni, igual que su antecesor, los cryptolockers, una vez activados, cifra ciertos tipos de archivos almacenados en discos locales del ordenador infectado y en unidades de red, guardando una clave privada en los servidores del ‘malware’. Luego, en la pantalla del desafortunado usuario aparece un mensaje en el cual se le ofrece descifrar los archivos afectados a cambio de un pago, en la mayoría de los casos, en bitcoines. Si el internauta no paga antes de la fecha límite, la clave privada será destruida del servidor y será imposible recuperarla, con lo cual la víctima pierde el acceso a esos archivos.

“Los autores usaron las técnicas probadas por numerosos virus previos, como la demanda de pagar el rescate en bitcoines, pero también tienen algunas soluciones absolutamente nuevas para esta clase de ‘malware’. Es la última generación de un ‘malware’ tipo troyano. Es una de las más peligrosas amenazas cibernéticas de la actualidad y uno de los virus ‘de rescate’ más sofisticados de los conocidos hoy en día”, insiste Fiodor Sinitsin, el analista jefe de Kaspersky Lab.

La característica más inusual de Critroni (apodado ‘Onion’ o ‘Cebolla’ por Kaspersky Lab y bautizado ‘CTB-Locker’ o ‘Curve-Tor-Bitcoin Locker’ por sus creadores) es que usa la red Tor para comunicarse con su servidor de mando: a través de esta red de navegación anónima, manda a sus autores la clave para descifrar los archivos y recibe de ellos la cifra del rescate. Es el primer ‘malware’ que tiene un código Tor embebido en sus propios archivos en vez de utilizar el ‘software’ legítimo de Tor para establecer la comunicación.

El virus tiene, además, un esquema de codificación único para encerrar los archivos de sus víctimas. Primero, los comprime y luego utiliza un algoritmo de cifrado que no permite rescatar los datos codificados, aunque las comunicaciones del ‘malware’ con su servidor de mando y control queden interceptadas. La mayoría de las denuncias sobre el nuevo virus que tiene interfaz en inglés y en ruso de momento provienen de Rusia y Ucrania, con lo cual desde Kaspersky Lab concluyen que los creadores del troyano proceden del espacio postsoviético.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s