Los investigadores de seguridad de la firma rusa Kaspersky Labs han publicado un informe acerca de una nueva variante del ransomware KeyPass, que ha afectado a usuarios de todo el mundo desde el pasado 8 de agosto. Al parecer, el malware ha llegado con una nueva característica que permite a los hackers modificar el código malicioso de manera remota, dándoles la posibilidad de modificar el proceso de cifrado.
Los expertos afirman que este ransomware ya ha afectado al menos a 100 víctimas, la mayoría de ellas residentes de países en desarrollo, como Brasil (19.5% de los ataques) y Vietnam (14.6% de los ataques). Además, se detectaron víctimas en Argelia, Irán, La India, Francia y Alemania.
De momento, no está claro cuál es el método de distribución de KeyPass, aunque algunos usuarios afirmaron que todo ocurrió al intentar descargar el software para creackear KMSpico. Por su parte, otros usuarios afectados afirman no haber instalado nada en sus ordenadores antes del ataque.
KeyPass es una variante del ransomware STOP que fue revelado por primera vez en febrero de 2017. Con respecto a su funcionamiento, una vez el malware es instalado en el equipo, copia su archivo ejecutable en la carpeta %LocalAppData% y se elimina cuando se completa el proceso de ataque. Pese a ello, antes de desaparecer, el malware copia su propio proceso en diversas ubicaciones distintas en el dispositivo. Posteriormente, KeyPass busca los archivos para encriptarlos.
Luego del proceso de cifrado, el ransomware se conecta al servidor de comando y control para proporcionar la clave de descifrado, que puede ser utilizada para recuperar todos los archivos. Luego, KeyPass utiliza el cifrado AES-256 para encriptar los archivos y agrega la extensión .KEYPASS, haciendo inutilizables los datos comprometidos.
La nota de rescate de los hackers exige US$ 300 en Bitcoin para ofrecer la clave de descifrado y amenazan con subir esta tarifa si las víctimas no pagan en un lapso de 72 horas.
Un dato curioso es que en caso de que el ordenador no tenga conexión a Internet, o no se pueda acceder al servidor de comando y control, el malware codificará los archivos a través de un ID con codificación, lo que permitirá recuperar los datos con algo de facilidad.
De momento, se desconoce la identidad de los hackers, y la mejor forma de protegerse es no siendo víctima del ataque ni cayendo en su trampa, es decir, descargando software solo de fuentes confiables.
