El ransomware es el tipo de malware más peligro de los últimos años. Cuando un usuario se infecta por él, todos sus archivos personales se cifran con un algoritmo prácticamente imposible de romper y, posteriormente, se le pide el pago de un “rescate” para poder recuperar los archivos o, de lo contrario, estos se perderán para siempre.







Las formas más comunes de distribuir ransomware es a través de campañas publicitarias maliciosas, kits de exploits o correo electrónico, aunque la forma de distribución de nuevo ransomware, conocido como Surprise, ha pillado por sorpresa tanto a usuarios como a investigadores de seguridad.
Surprise, nombre que ha recibido este ransomware por la extensión que añade a todos los archivos infectados, es un nuevo ransomware detectado por primera vez el día 10 de marzo por unas pocas firmas antivirus, desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto que se publicó con fines educativos pero que, como ocurre siempre, está siendo utilizado para hacer el mal.

Este ransomware ha llegado, como su nombre indica, por sorpresa a todos los usuarios. Las víctimas del mismo se han encontrado con que, de repente, de un día para otro todos sus ficheros habían sido codificados añadiendo la extensión “.surprise” en todas las fotos, documentos y archivos personales del sistema. Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint.

Este ransomware utiliza un algoritmo AES-256 para cifrar los archivos con una clave maestra RSA-2048, la cual se almacena en un servidor remoto de control. Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.

Para recuperar los archivos, el pirata informático pide un pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.

No se sabe cómo el pirata informático logró conectarse a los servidores TeamViewer para distribuir Surprise

El ransomware en sí no es ninguna sorpresa, ya que a grandes rasgos es como cualquier otro. Lo realmente curioso de él es la forma de infectar a los usuarios. Aunque al principio no había nada claro, según aumentó el número de víctimas se pudo observar un patrón, y es que todas ellas tenían instalada la herramienta de control remoto TeamViewer en sus sistemas. Analizando los registros de esta herramienta, todas las víctimas han podido ver cómo un usuario no autorizado se había conectado a sus equipos, había descargado un fichero llamado “surprise.exe” (el ransomware) y lo había ejecutado manualmente, dando lugar así a la infección.



Por el momento no se sabe cómo ha conseguido el pirata informático conectarse de forma remota a los equipos de las víctimas, aunque hay dos posibles opciones:

La primera de ellas, aunque un poco complicada, es que el pirata tenga en su poder una vulnerabilidad zero-day que le permita conectarse de forma remota a cualquier servidor TeamViewer. Los responsables de seguridad de TeamViewer han auditado su herramienta tras las primeras infecciones y aseguran que esto no es posible, lo que nos lleva a la segunda opción.

La segunda de ellas, y probablemente más probable, es que utiliza una herramienta de escaneo de red para detectar cualquier servidor TeamViewer conectado y, posteriormente, consigue acceder a los sistemas de sus víctimas mediante ataques de fuerza bruta.

Tanto las empresas de seguridad como Bleeping Computer y los responsables de seguridad de TeamViewer están estudiando el caso para poder arrojar luz sobre cómo ha sido posible que un pirata informático haya podido distribuir este nuevo ransomware a través de esta herramienta de control remoto.

Tal como recomienda directamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer con una contraseña compleja, activar la doble autenticación, mantener el servidor actualizado a la última versión (y descargado siempre de la web oficial) y, por último, asegurarnos de que el ataque informático no viene por ninguna otra rama (por ejemplo, otro malware instalado en el sistema).

Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.

También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos, especialmente cuando los últimos pings contra el servidor C&C no han devuelto respuesta.

Fuente:
http://www.redeszone.net/2016/03/22/surprise-el-ransomware-que-se-instala-a-traves-de-teamviewer/