Los detalles sobre FilesLocker se publicaron por primera vez en Twitter, pero una investigación posterior lo rastreó en el foro chino de delitos informáticos en TOR, una red anónima en línea. Escritas en C # y disponibles tanto en chino como en inglés, algunas de las funciones promovidas en el foro incluyen cifrado sólido, la capacidad de borrar copias de volumen ocultas y capacidades de personalización.
Si bien FilesLocker tiene un diseño relativamente poco sofisticado, según los investigadores de seguridad, encripta los archivos de las víctimas a través de una clave privada, que se cifra mediante una clave pública incrustada. Al escanear carpetas comunes del sistema, como Documentos e Imágenes, la oferta de ransomware-as-a-service encripta archivos con una extensión .locked y luego muestra una nota exigiendo 0.18 bitcoin como pago a una dirección de correo electrónico específica, junto con un ID de víctima generado automáticamente para fines de seguimiento.
Cómo se califican los afiliados para los archivosLocker Spoils
El desarrollador de FilesLocker estipuló que todos los afiliados interesados deberían tener un historial probado en la distribución de ransomware a través de esquemas de phishing u otros métodos, con un mínimo de 10 infecciones por día. También advirtió que no se debe cargar el programa en ningún servicio que ayude a las organizaciones a automatizar el proceso de análisis de virus y otras amenazas de seguridad. Si bien aquellos que lo hacen particularmente bien pueden ganar tres cuartas partes de lo que se obtiene de las víctimas, el programa incluye una participación de ingresos base del 60 por ciento.
La práctica de difundir ransomware a través de afiliados es cada vez más común entre los delincuentes cibernéticos. En agosto, por ejemplo, los delincuentes cibernéticos lanzaron una amenaza similar de ransomware-as-a-service llamada Princess Evolution a posibles socios por el mismo porcentaje de ingresos del 60 por ciento.
Contener amenazas como archivos Bloqueador
Si bien es normal y natural sentir pánico al ver aparecer una nota de rescate en la pantalla, los líderes de seguridad deben capacitar a los usuarios para que informen sobre estos incidentes lo más rápido posible, de modo que puedan minimizar la posible propagación de programas de ransomware como servicio.
La » Guía de Respuesta de Ransomware » de IBM Security recomendó a los profesionales de seguridad que desconecten inmediatamente cualquier máquina infectada con ransomware de la red corporativa, así como cualquier acceso a Wi-Fi u otros servicios que puedan conectarse al atacante.
Aislar un sistema puede dar al equipo de seguridad el tiempo suficiente para realizar un análisis de causa de ruta (RCA) adecuado para identificar cómo se distribuye el ransomware, lo que puede significar el cierre del correo electrónico u otros canales de comunicación para los empleados en riesgo. Dado que los desarrolladores de malware están comenzando a trabajar en equipo, sus víctimas potenciales deben hacer lo mismo.
Fuente: Securityintelligence.com
