AlumniLocker ransomware
Los investigadores de Infosec han descubierto una nueva y potente amenaza de ransomware que se basa en el Thanos (Tycoon) Ransomware previamente detectado. Esta nueva variante de Thanos Ransomware se llama AlumniLocker Ransomware y exhibe algunas características inusuales que podrían indicar que el grupo responsable todavía no tiene experiencia en la realización de campañas de ataque de ransomware.
Como vector de infracción inicial, AlumniLocker emplea correos electrónicos de phishing que contienen archivos PDF dañados. El cuerpo del correo electrónico y el archivo adjunto están diseñados para parecerse a una factura importante en un intento de que el usuario objetivo abra el archivo lo más rápido posible. Dentro del PDF de la factura falsa, los usuarios encontrarán un enlace que, al hacer clic, colocará un archivo ZIP con un descargador en sus computadoras.
Luego, la carga útil de AlumniLocker se obtiene y ejecuta mediante un script de PowerShell disfrazado de archivo JPG. El método para iniciar el ransomware abusa de un módulo de transferencia de servicio inteligente en segundo plano (BITS). Una vez implementada, la amenaza cifrará los archivos de la víctima y agregará '.alumni' a sus nombres originales como una nueva extensión. Una vez completada la rutina de cifrado, se generará un archivo de texto que contiene instrucciones para la víctima.
Aquí es cuando aparece el primer aspecto peculiar del AlumniLocker Ransomware. Aparentemente, los ciberdelincuentes quieren recibir la suma de 10 Bitcoin si van a enviar la herramienta de descifrado a sus víctimas. El precio de Bitcoin es notorio por su volatilidad, pero al ritmo actual, 10 bitcoins valen más de $ 500,000, una cantidad que pocas personas o incluso organizaciones simplemente tienen por ahí. Los piratas informáticos también parecen tener alguna noción de esta realidad, ya que también tienen un plan de respaldo de chantaje. Se advierte a las víctimas que si no pagan el rescate dentro de las 48 horas, la información que se haya recopilado del sistema comprometido por AlumniLocker se hará pública en un sitio web diseñado específicamente. Sin embargo, al seguir el enlace, se muestra que en el momento en que se descubrió AlumniLocker, el sitio web era inaccesible.
El exorbitante rescate junto con el sitio web de filtración no funcional son signos de que el grupo de piratas informáticos detrás de AlumniLocker puede estar en su infancia.
