Spora, una nueva generación de 'ransomware'

Spora; este es el nombre del nuevo programa de ransomware que ha sido encontrado y que se diferencia por traer varias innovaciones al modelo tradicional de pago de rescate y por una fuerte encriptación de archivos fuera de línea.

Por el momento, el malware se ha utilizado en Rusia, pero sus autores han creado también una versión en inglés, lo que sugiere que es probable que los ataques se extiendan rápidamente por otros países. El virus destaca porque puede cifrar archivos sin tener que ponerse en contacto con un servidor de comando y control (CnC); y lo hace de una manera que permite que cada víctima tenga una clave de descifrado particular.

La criptografía de clave público como RSA se basa en pares de claves formados por una clave pública y una privada. Cualquiera que sea el archivo cifrado con una clave pública solo puede descifrarse con su correspondiente par.

La mayoría de los programas de ransomware se ponen en contacto con un servicio de comando y control después de ser instalados en un equipo y solicita la generación de dos claves RSA. La clave pública se descarga en el equipo, pero la privada nunca sale del servidor y permanece en posesión de los atacantes. Esta es la clave que las víctimas pagan para obtener el acceso.  

El problema con llegar a un servidor en Internet después de la instalación de ransomware es que crea un vínculo débil para los atacantes. Por ejemplo, si el servidor es conocido por las empresas de seguridad y está bloqueado por un cortafuegos, el proceso de cifrado no se inicia.

Algunos programas de ransomware pueden realizar el denominado cifrado sin conexión, pero utilizan la misma clave pública RSA para todas las víctimas. La desventaja de este enfoque para los atacantes es que una herramienta de descifrado dada a una víctima funcionara para todas.

De este modo, los creadores de Spora han resuelto este problema, según indican los investigadores de Emsisoft, quienes analizaron la rutina de cifrado del programa. El malware contiene una clave pública RSA codificada, pero se utiliza para cifrar una AES única que se genera localmente para cada víctima. En otras palabras, se ha añadido una segunda ronda de cifrado AES y RSA a lo que otros programas de ransomware han estado haciendo hasta ahora.

Cuando las víctimas quieren pagar el rescate tienen que cargar sus claves AES cifradas en el sitio web de pago de los atacantes. Éstos usarán su clave privada maestra para descifrarla y devolverla a la víctima. De esta manera, Spora puede operar sin la necesidad de un servidor de comando y control y evitar la liberación de una clave maestra que funcione para todas las víctimas. “Desafortunadamente, de este modo no hay forma de restaurar archivos cifrados sin acceso a la clave privada del autor de malware”.

Además, Spora se diferencia de otros ransomware porque se ha implementado un sistema que les permite pedir diferentes rescates para diferentes tipos de víctimas. Los archivos de claves cifradas que las víctimas tienen que cargar en el sitio web de pagos también contienen información de identificación recopilada por el malware sobre los equipos infectados, incluidos los ID de campaña únicos. Esto significa que si los hackers lanzan una campaña de distribución de Spora específicamente dirigida a las empresas, podrán saber cuándo las víctimas de esa campaña tratarán de utilizar su servicio de descifrado. Esto les permite ajustar automáticamente la cantidad de rescate para los consumidores u organizaciones o incluso para las víctimas en diferentes regiones del mundo.

Todo indica que Spora es una operación profesional y bien financiada. Los valores de rescate observados hasta ahora son inferiores a los que pidieron otras pandillas, lo que podría indicar que el grupo que está detrás de esta amenaza quiera establecerse rápidamente.

Por el momento, los investigadores solo han visto a Spora distribuido a través de adjuntos de correo electrónico que plantean como facturas de un programa de software de contabilidad.