#Anatova el nuevo #Ransomware que se propaga como juego online

anatova
ransomware

#1

Anatova ransomware se presenta como juegos y software para engañarlo y descargarlo

anatova-ransomware-gammers

Anatova ransomware apareció por primera vez el 1 de enero de este año y el nuevo código detrás de él sugiere que los ciberdelincuentes que lo distribuyen son desarrolladores de malware con experiencia.

Muestra la capacidad de transformarse rápidamente, con la posibilidad de agregar fácilmente nuevas tácticas de evasión y mecanismos de expansión. Anatova también viene equipado con un cifrado sólido, que utiliza un par de claves RSA para bloquear a los usuarios de los archivos, una táctica también utilizada por algunas de las familias de ransomware más exitosas como GandCrab y Crysis.

Debido a estas capacidades, y cómo está preparada para la extensión modular, los investigadores de seguridad de la empresa de seguridad McAfee, que descubrieron el ransomware , advirtieron que Anatova es el trabajo de los delincuentes cibernéticos capacitados y tiene el potencial de convertirse en una amenaza grave.

“Anatova tiene el potencial de volverse muy peligroso con su arquitectura modular, lo que significa que las nuevas funcionalidades se pueden agregar fácilmente. El malware está escrito por autores experimentados que han incorporado funcionalidades suficientes para asegurarse de que los métodos típicos para superar el ransomware sean ineficaces”, dijo Christiaan Beek, científico principal e ingeniero principal de McAfee.

Actualmente, el mayor número de víctimas se encuentra en los Estados Unidos, y el ransomware también se ha detectado en Bélgica, Alemania, Francia, el Reino Unido y otros países europeos.

Anatova se transmite a través de redes de igual a igual y se hace pasar por descargas gratuitas de juegos y software para atraer a las víctimas confiadas a descargar ransomware, aunque los investigadores señalan que podría propagarse utilizando otros vectores de ataque en el futuro.

Una vez que el malware está seguro de que está apuntando a un sistema legítimo, creará un par de claves RSA utilizando la API criptográfica que cifrará todas las cadenas, antes de generar claves aleatorias para cifrar el sistema objetivo y ejecutar el proceso de implementación completa del ransomware.

Anatova ransomware nota de rescate

Aquellos que se infecten con Anatova se encontrarán con una nota de rescate [exigiendo un pago en criptomoneda de 10 Dash, alrededor de $ 700, a cambio de descifrar los archivos.

Se proporciona una dirección de billetera de moneda criptográfica para realizar el pago y se le indica al usuario que envíe un correo electrónico a los atacantes después de hacerlo para recibir una clave de descifrado. Se advierte a las víctimas que no intenten recuperar los archivos por sí mismos y que el ataque no es “nada personal, solo negocios”.

Fuente: Znet


#2

Anatova tiene funciones muy interesante como ransomware modular… pero la que mas llamo mi atención fue la lista de los usuarios en su black-list en donde se encuentra mi usuario llamado “LaVirulera”. :stuck_out_tongue:

LaVirulera (como decir la caja de virus) es como llamo generalmente a mis usuarios en mis maquinas virtuales de laboratorio y que obviamente se puede ver fácilmente (ya que no oculto) en mi cuenta de Twitter en la mayoría de las imagenes de ransomwares en mis post.


Una función interesante que descubrimos fue que Anatova recuperará el nombre de usuario del usuario registrado y / o activo y lo comparará con una lista de nombres cifrados. Si se detecta uno de los nombres, irá al procedimiento de flujo de limpieza y saldrá.

La lista de usuarios buscados son:

  • LaVirulera
  • tester
  • Tester
  • analyst
  • Analyst
  • lab
  • Lab
  • Malware
  • malware

Algunos analistas o máquinas virtuales / entornos limitados están usando estos nombres de usuario predeterminados en su configuración, lo que significa que el ransomware no funcionará en estas máquinas / entornos limitados.




Esta no es la primera vez que “los del lado oscuro” intentan bloquear mis análisis… recientemente los creadores detrás del ransomware GandCrab también bloqueaban y me saludaban si encontraban mi carpeta de MalwarebytesLabs :sunglasses:

Esto demuestra que los chicos malos también están pendientes de sus creaciones y de ver quienes o que dicen de ellos en el social net :wink:

Salu2


#3

Entonces, podríamos decir, que “los malos” te “conocen”. :expressionless: :grin: Si como tienes puesto, te bloqueaban y te saludaban, ¿Podrían bloquear el foro, o al ser nuevo tiene este más seguridad? :thinking: Ya que este foro es un referente para acabar con el malware.

Saludos.


#4

Si, al tener un perfil publico en las redes sociales, es lógico que siguiendo quien habla de sus bichos, den con los analistas de malware que investigamos estos.

Ya hemos teniendo en el pasado varios tipos de malware que bloqueaban el acceso al foro… ya sea mediante el host de la victima o directamente en las listas negras en el código del malware.

Como nota al margen, los autores de malware en realidad dedican bastante esfuerzo al marketing, incluso a menudo mencionando a los analistas de malware específicos por nombre dentro de las muestras. Esto sucede debido a la naturaleza de la criminalidad de plataforma moderna: el malware se licencia a los afiliados para su distribución, y con el fin de atraer el mayor interés y los mejores precios que los autores de malware necesitan para hacerse un nombre.

Por suerte, hoy por hoy existen varios medios por los que un usuarios puede llegar igual al foro a pesar de que un malware este bloqueando el acceso desde su ordenador.

Salu2