Ransomware CTB-Locker ataca miles de sitios web

0

Una nueva variante del ransomware CTB-Locker (que se ha reinventado a sí mismo) ha empezado a atacar gran cantidad de sitios web con el CMS WordPress, cifrando su contenido y exigiendo un pago con varios Bitcoins para devolver los archivos.

CTB-Locker

En Bleeping Computer explican el funcionamiento de este ransomware, denomindo CTB-Locker, que apareció inicialmente hace ya 2 años como ransomware tradicional, es decir, destinado a usuarios finales.

Desde entonces, los autores del malware se han dado cuenta de que podían pescar peces más grandes con su caña, así que miraron hacia los servidores web.

CTB-Locker ataca sitios web con WordPress

CTB-Locker, en su versión para sitios web, es un ransomware diseñado para encontrar webs, cifrar su contenido y después demandar el pago de un rescate de 4 Bitcoin para ofrecer la clave de descifrado.

El proceso de cifrado comienza con una web insegura, que duda cabe. El atacante con este ransomware buscará la posibilidad de cambiar los ficheros index.php o index.html con versiones que muestren la demanda del rescate. El atacante, como suele ser habitual, ofrece el descifrado gratuito de dos archivos al azar de foma gratuita (así demuestra su control sobre los mismos y hay más opciones de que el usuario pague) aunque dichos archivos seguramente sean recuperables sin la ayuda de clave alguna. 

Infección por CTB-Locker

Sin embargo, sí estarán encriptados todos aquellos documentos encontrados en el servidor y que se ajusten a los formatos y extensiones que el ransomware esté programado para atacar.

Así te saluda CTB-Locker

Una vez ha terminado de cifrar todos los archivos encontrados en el servidor, así es como se muestra el ransomware:

Atención! ¿Qué ha pasado?

Tus archivos personales están cifrados con CTB-Locker.

Tus Scripts, documentos, fotos, bases de datos y otros archivos importantes han sido cifrados con el algoritmo de cifrado AES-256 y una clave única, generada para este sitio web.

La clave de desencriptado está guardada en un servidor secreto y nadie puede desencriptar tus datos hasta que pagues y obtengas la clave.

Descubre más sobre el algoritmo aquí: Wikipedia

La nota anterior está acompañada de la referencia a una noticia, recogida por la web Security Ledger, que cita las palabras controvertidas de un representante del FBI, donde admite que lo mejor que pueden hacer las empresas ante el ransomware es símplemente pagar.

Novedades en esta versión de CTB Locker

Desde Bleeping Computer, su descubridor apunta a dos nuevos cambios en esta variante del ransomware:

  • La versión dirigida a sistemas Windows está ahora firmada con certificados robados.
  • La variante dirigida a secuestrar sitios web viene equipada con un chat que permite al usuario comunicarse con el secuestrador en tiempo real.

Sala de chat de CTB Locker

Actualmente, resulta imposible para el usuario obtener sus archivos de nuevo sin pagar el rescate. El periódico The Register informa de que el ransomware fué descubierto por vez primera, por los investigadores Benkow Wokned y Tomas Meskauskas, quienes han avisado de que el malware ya ha logrado infectar miles de sitios web.

Y lo cierto es que, si realizamos una búsqueda rápida en Google, podemos comprobar que hay muchas webs afectadas:

Búsqueda de ransomware en Google

Conclusiones

A pesar de lo anteriormente comentado, podemos ofrecer una buena noticia, y es que el ratio de infección no se parece al alcanzado por CTB-Locker en versiones de Windows. Muchas de las webs con WordPress afectadas carecían de una seguridad apropiada, debido a plugins con fallos de seguridad o falta de actualizaciones, además de versiones de WordPress ya obsoletas. Actualiza tu WordPress!

 

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR