Rakhni Ransomware agrega el componente de Coinminer

Rakhni

Un viejo conocido y una de las primeras cepas de ransomware que aún existe y a su vez genera nuevas víctimas, pero este malware también se está adaptando a los nuevos tiempos y ha agregado un componente para minería de criptomoneda que implementa en computadoras cuidadosamente seleccionadas. Nombrado Rakhni, este ransomware ha existido desde 2013 y no se ha detenido del todo, simplemente mantuvo un perfil bajo.
 

Nueva versión de Rakhni emerge

Los expertos en seguridad de Kaspersky Lab informan sobre una nueva versión de Rakhni que ha recibido una actualización que le permite escanear la computadora antes de infectarla y decidir si implementar el ransomware o descargar y ejecutar un módulo coinminer desde un servidor remoto.

El criterio detrás del proceso de selección es simple: si Rakhni encuentra una carpeta llamada Bitcoin en la PC, ejecuta el módulo ransomware. El razonamiento no está claro, pero puede tener que ver con el ransomware que intenta encriptar las claves privadas de billetera de un usuario y evitar que el usuario acceda a sus fondos de Bitcoin. Otro razonamiento es que al encontrar una carpeta de Bitcoin, los autores de Rakhni pueden creer que el usuario es un propietario de fondos de criptomoneda y el usuario puede no tener problemas para obtener los fondos para pagar el rescate después de que sus archivos estén encriptados.

No es claro lo qué pensaban los autores de Rakhni cuando codificaron este comportamiento, pero lo que si se conoce es que si el ransomware no encuentra carpetas que contengan la cadena Bitcoin, recuperará una aplicación de minería de cifrado desde un servidor remoto e instalará el complemento en la computadora de la víctima, esto si considera que la computadora es lo suficientemente potente como para manejar operaciones intensas de minería de monedas.

Según los expertos de Kaspersky, este módulo coinminer extraerá criptomonedas como Monero, Monero Original o Dashcoin.

 

La campaña de spam que propaga la nueva versión de Rakhni

Actualmente, esta nueva versión de Rakhni se distribuye a través de correos electrónicos no deseados. Los expertos dicen que han visto que la mayoría de las nuevas infecciones Rakhni están arraigadas en países como Rusia, Kazajstán, Ucrania, Alemania e India, lo que sugiere que se ha utilizado cierta segmentación geográfica, al menos para el sistema de envío de correo no deseado.

Los correos electrónicos no deseados de los autores de Rakhni contienen archivos adjuntos maliciosos en forma de documentos Word DOCX. Al abrir el archivo DOCX se abre un documento PDF contenido que a su vez intenta ejecutar un archivo EXE. Los usuarios deben estar seguros, siempre que no habiliten macros (botón Habilitar edición) en el primer archivo DOCX.

Para los lectores técnicamente astutos que buscan un desglose del binario Rakhni y sus IOC asociadas, un análisis técnico de Kaspersky Lab está disponible en el blog Securelist de la compañía.

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Etiquetas

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila