Funcionarios de seguridad de Forcepoint, Texas, descubrieron una nueva cepa de ransomware que tiene como objetivo organizaciones de atención médica. El ransomware Philadelphia pertenece a la familia Stampado. Este kit de ransomware se vende online por unos cientos de dólares y los atacantes exigen un rescate en forma de Bitcoins.
Los investigadores descubrieron que el ransomware Philadelphia se transporta a través de correos electrónicos de phishing. Dichos correos electrónicos se envían a los hospitales con un cuerpo de mensaje de una URL abreviada que dirige hacia un espacio de almacenamiento personal que contiene un archivo DOCX armado con el logotipo de la organización de atención médica objetivo. Los empleados quedan atrapados y terminan haciendo clic en estos enlaces que hacen que el ransomware se infiltre en el sistema.
Fuente de la imagen: forcepoint.com
Una vez que el ransomware se establece en el sistema, se pone en contacto con el servidor C&C y transfiere toda la información sobre la computadora víctima, como el sistema operativo, el país, el idioma del sistema y el nombre de usuario de la máquina. Luego, el servidor C&C genera una identificación de víctima, un precio de rescate y una identificación de billetera Bitcoin y los envía a la máquina objetivo.
La técnica de cifrado utilizada por Philadelphia Ransomware es AES-256, que exige un rescate de 0,3 Bitcoins. una vez que haya terminado de bloquear sus archivos. Su interés por la industria de la salud se puede observar en la ruta del directorio que muestra 'hospital/spam' como una cadena en su JavaScript cifrado junto con 'hospital/spa' contenido en la ruta del servidor C&C.
>p >
Fuente de la imagen: funender.com
Qué es Filadelfia:
Está bien, todo el mundo sabe que es la ciudad más grande de Pensilvania y bla, bla, bla… pero En lo que respecta al ciberdelito, también es una versión actualizada del famoso virus tipo ransomware Stampado. En los correos electrónicos de phishing, es posible que los encuentre con avisos falsos de pagos vencidos. Estos correos electrónicos incluyen principalmente enlaces a sitios web de Filadelfia, que se mantienen listos con aplicaciones Java para instalar ransomware en su sistema.
Ver también: Las 5 mejores herramientas de protección contra ransomware
Filadelfia comienza a cifrar archivos con varias extensiones como .doc, .bmp, .avi, .7z, .pdf, etc., después de una intrusión exitosa en el sistema. Puede identificar un archivo cifrado bloqueado por Philadelphia con su extensión como ".locked". Por ejemplo, un archivo en su sistema con el nombre "abc.bmp" se cifraría y cambiaría de nombre a "KD24KIH83483BJAKDF8JDR7.locked". Una vez que intentas abrir el encr archivo ypted, el ransomware abre una nueva ventana con un mensaje de rescate exigido.
El mensaje de rescate le informa que los archivos han sido cifrados y que debe pagarles para restaurarlos. Philadelphia utiliza un algoritmo de cifrado asimétrico que crea claves públicas (cifrado) y privadas (descifrado) mientras cifran y bloquean los archivos. Descifrar los archivos bloqueados sin la clave privada es como hervir un océano, ya que están ubicados en servidores remotos custodiados por ciberdelincuentes.
La ventana contiene dos temporizadores interesantes: Fecha límite y Ruleta rusa. Mientras que el temporizador indica el tiempo restante para obtener su clave privada, la Ruleta Rusa muestra el tiempo para eliminar el siguiente archivo (lo que lo empuja a comprarlo sin perder tiempo en buscar ayuda). De hecho, es una amenaza, pero eso es lo único que no es falso.
Fuente de la imagen: forbes.com
¿Puedes evitarlo? ¿Esta situación?
Sí. Puedes salvarte de ser aserrado por Philadelphia ransomware; sin embargo, debes mantener tu computadora armada con el mejor anti ransomware y antimalware. Tenga en cuenta que algunos ransomware pueden eludir los mejores programas anti ransomware, por lo que la mejor práctica es convertirse en un usuario atento y no hacer clic en nada inusual o sospechoso.
Consulte también: Los cinco consejos principales para luchar contra los estragos del ransomware
Considerando todo, Philadelphia Ransomware puede asumirse como un tipo de infección penetrante. Aunque ahora solo se ha dirigido a las organizaciones de atención médica, usted también puede ser una víctima ya que el código fuente de este virus se abre a la venta por $ 400 en la web oscura. Cualquier aspirante a ciberdelincuente puede obtener el código y empezar a buscar una presa. Mantener su computadora inmunizada y protegida con antimalware y antiransomware debería ayudar.
Leer: 0
