Los investigadores de la empresa de seguridad McAfee han descubierto un ransomware que ataca a los gamers y, que además cuenta con el potencial para convertirse en una amenaza grave.

Durante nuestra búsqueda continua de nuevas amenazas, descubrimos una nueva familia de ransomware que llamamos Anatova (basada en el nombre de la nota de rescate).

La primera aparición de este ransomware llamado, como Anatova fue el 1 de enero de este año y, según los investigadores el código detrás de este malware muestra que sus desarrolladores son ciberdelincuentes experimentados.

Una gran amenaza

Según la fuente, Anatova tiene la capacidad de transformarse rápidamente, con la posibilidad de agregar fácilmente nuevas tácticas de evasión y mecanismos de expansión.

Anatova incorpora un cifrado sólido que utiliza un par de claves RSA para bloquear a los usuarios de los archivos. Una táctica que ha sido utilizada por algunas de las familias de ransomware exitosas, como GandCrab y Crysis.

Una extensión modular

Christiaan Beek, científico e ingeniero principal de McAfee ha mencionado que este ransomware es muy peligroso, debido a, estas capacidades y a que posee una arquitectura modular que permite añadir nuevas funcionalidades de manera rápida dificultando que expertos puedan superar a este ransomware.

Anatova tiene el potencial de volverse muy peligroso con su arquitectura modular, lo que significa que las nuevas funcionalidades se pueden agregar fácilmente. El malware incorpora funcionalidades suficientes para asegurarse de que los métodos típicos para superar el ransomware sean ineficaces.

¿Cómo funciona?

Los investigadores mencionan que Anatova se hace pasar por descargas gratuitas de juegos y software, ya que, se transmite a través de las redes P2P.

Proveedores de soluciones de ransomware solo suelen pagar el rescate en criptomonedas

Anatova usualmente usa el ícono de un juego o aplicación para engañar al usuario y cuenta con un manifiesto para solicitar derechos de administrador.

Una vez que este se encuentra en un sistema legítimo, crea un par de claves RSA por medio de una API criptográfica que se encarga de cifrar todas las cadenas antes de generar claves aleatorias para cifrar el sistema objetivo y ejecutar el proceso de implementación completa del ransomware.

Una nota de rescate

Como todo ransomware, los ciberdelincuentes luego de infectar la computadora exigen un rescate en criptomonedas, 10 Dash que son alrededor de USD $700 por descifrar los archivos.

En esta nota de rescate, los hackers proporcionan una dirección de billetera de moneda criptográfica y le indican al usuario que luego de realizar el pago, envíe un correo electrónico a los atacantes para que estos le proporcionen una clave de descifrado.

Solo algunos países están infectados

Aunque no se sabe con certeza quiénes están detrás de este nuevo ransomware se conoce que este ransomware no afectará a todos los países de la CEI, Siria, Egipto, Marruecos, Irak e India, razón por la cual los investigadores no descartan que los ciberdelincuentes procedan de alguno de ellos.

Hasta ahora, este ransomware ha infectado equipos que se encuentran en los Estados Unidos, Bélgica, Alemania, Francia, el Reino Unido y otros países europeos.

Más en TekCrispy