Parece ser que los desarrolladores desoftware malicioso tipo ransomware han encontrado otra manera de obtener beneficios económicos por medio de sus operaciones a través de un nuevo componente DDoS.
Esto es algo que han descubierto los investigadores de seguridad de Invincea, ya que observaron lo que parecía ser una muestra de malware modificada del conocido ransomware Cerber para convertirlo en una de una amenaza aún mayor. Este equipo de análisis de malware descubrió que, además de las funciones de cifrado de archivos y bloqueo de pantalla que se ven en la mayoría de las familias ransomware, esta amenaza también incluye una carga útil adicional que, una vez se pone en funcionamiento, envía paquetes de red hacia una subred externa, comportamiento habitual de robots DDoS y que por primera vez se ha visto incluido en ransomware.
Este tipo especial de Cerber se difunde a través de documentos en formato .rtf aunque, como indica la propia empresa que lo ha descubierto, no es demasiado sigiloso, ya que es detectado por 37 de los 57 motores de VirusTotal. Su funcionamiento se basa en que los mencionados documentos .rtf activan la función de macros en Office para después ejecutar un VBScript malicioso que descarga y ejecuta el malware. Concretamente el ransomwareen si se ejecuta en primer lugar cifrando los datos del usuario y bloqueando su acceso al ordenador mediante el bloqueo de la pantalla. Después de esto un segundo código malicioso binario llamado 3311.tmp también se pone en marcha y comienza a enviar una gran cantidad de datos a través de la Red pertenecientes al PC infectado.
Se teme que esto pueda convertirse en una nueva tendencia, ya este nuevo comportamiento en primer lugar es un binario ransomware típico que cifra el sistema de archivos y muestra una nota de rescate, en segundo lugar también se lleva a cabo un ataque DDoS. Según han podido comprobar los investigadores, el tráfico de red parece inundar la subred con paquetes UDP a través del puerto 6892.
De hecho la introducción de capacidades DDoS al ransomware no es una mala idea desde el punto de vista del desarrollador de malware, ya que el alquiler de botnets DDoS en la Deep Web es un negocio muy lucrativo. Hay que tener en cuenta que no todos los atacados por ransomware pagan para desbloquear sus archivos, por lo que por medio del ataque adicional DDoS se pueden extraer los datos de las víctimas que no pagan y utilizarlos posteriormente. De hecho se especula con que si el usuario no limpia su sistema a fondo, incluso pagando el rescate, habría muchas posibilidades de que el bot DDoS siga en el equipo.