Cerdo ransomware

Los investigadores de infosec han descubierto una peculiar amenaza de malware llamada Hog Ransomware. El Hog Ransomware requiere que los usuarios se unan a un servidor Discord específico para descifrar sus archivos bloqueados. El Hog Ransomware muestra signos de que todavía se encuentra en las primeras etapas de desarrollo.

Cuando se ejecuta en una computadora, Hod Ransomware implementará una rutina de cifrado que utiliza el algoritmo criptográfico AES-256 para bloquear los archivos almacenados allí. Cada archivo afectado tendrá '.hog' agregado a su nombre de archivo original. Inmediatamente después de completar el proceso de cifrado, Hog Ransomware extraerá y ejecutará su componente descifrador al iniciar un archivo llamado 'DECRYPT-MY-FILES.exe' ubicado en la carpeta de inicio de Windows.

El descifrador explicará a los usuarios afectados que deberán unirse al servidor de Discord de los piratas informáticos y luego ingresar en el campo correspondiente su token de usuario de Discord. Al analizar el token, Hog Ransomware puede determinar si la víctima se ha unido realmente al servidor solicitado. Si la verificación es positiva o el servidor no existe, el programa descifrador restaurará los archivos bloqueados utilizando una clave estática incrustada en el propio ransomware.

Parece que más ciberdelincuentes están comenzando a explotar la plataforma Discord como parte de sus amenazadoras operaciones. Otro ransomware descubierto recientemente llamado Humble fue diseñado para usar Webhooks para entregar detalles sobre las computadoras infectadas al servidor Discord del atacante.