Así es Prince: el ransomware gratuito que se manda por formularios de contacto
Los investigadores de ciberseguridad de Proofpoint han descubierto que unos ciberdelincuentes están utilizando un ransomware disponible gratuitamente en GitHub para ataques informáticos. Según detallan en un comunicado, el programa es Prince e, inicialmente, está diseñado con fines educativos, pero lo están usando para hacer el mal.
Tal y como indica el equipo de investigación de Proofpoint, las empresas de correo postal suelen estar entre las más suplantadas por los cibercriminales. El último caso que han descubierto afecta a Royal Mail, una cadena de correo postal británica por la que se han hecho pasar para distribuir el ransomware Prince, que se puede descargar desde GitHub completamente gratis.
Principalmente, la campaña maliciosa con Prince se ha llevado a cabo en Reino Unido y Estados Unidos. Pese a que haya afectado a un bajo volumen de organizaciones, el modus operandi ha resultado efectivo. La nota de prensa de Proofpoint detalla que la mayoría de mensajes parecían originarse mediante formularios de contacto publicados en las páginas web de las empresas objetivo. Según explican, eso da pistas de que los estafadores cibernéticos no se dirigían exclusivamente por correo electrónico.
Malware a través de formularios de contacto
Estamos acostumbrados a campañas fraudulentas que mandan virus informáticos por correo electrónico, pero no es tan común que lo hagan mediante formularios de contacto. No obstante, los expertos en ciberseguridad de Proofpoint aclaran que es una técnica que se lleva a cabo desde hace tiempo. De hecho, ponen el ejemplo del grupo cibercriminal TA578, que envían troyanos a través de formularios de contacto con contenido relacionado con quejas para atacar a organizaciones de distintas partes del mundo.
Si bien el ransomware Prince se está distribuyendo principalmente por formularios de contacto, también se difunde por email. Desde Proofpoint recalcan que, independientemente del tipo de difusión del programa, deberíamos sospechar «si el remitente emplea dominios gratuitos de correo». Además, instan a las organizaciones a «formar a los usuarios para que reconozcan estas tácticas». Así, educarán para que «las comuniquen a los equipos de seguridad internos cuando las detecten» y, así, prevenir que otros internautas caigan en la trampa.
Los ciberdelincuentes piden un rescate por los archivos filtrados
A las empresas que se han visto afectadas por el ransomware gratuito Prince, les ha llegado una nota de rescate. En ella, informaban de que los archivos habían sido filtrados. En la publicación de Proofpoint, comentan que los ciberdelincuentes aseguraban que la información se descifraría automáticamente si pagaban 0,007 Bitcoins (el equivalente a unos 437 euros) a un monedero en concreto.
Sin embargo, los investigadores de seguridad informática aclaran que no existe dicha posibilidad. Tal y como explican, los ciberdelincuentes no pueden identificar qué víctimas han pagado o no. Por lo tanto, no podrían devolver los documentos a quienes den el dinero correspondiente. Además, tampoco hay identificadores únicos entre los cifrados ni ningún contacto o instrucciones para solicitar el descifrado.
«Desde Proofpoint, no atribuimos esta actividad a un grupo de ciberdelincuencia rastreado -informan en su post-. Dado que el ransomware está disponible abiertamente en GitHub, puede ser utilizado y modificado por varios atacantes». De hecho, el creador del ransomware Prince, SecDdg, «afirma que puede eludir Windows Defender con modificaciones de su código que no figuran en GitHub, pidiendo al interesado contactar mediante Telegram para ofrecer customizaciones previo pago». Eso quiere decir que, aunque el programa gratuito de GitHub sea aparentemente inofensivo y diseñado para fines educativos, puede trucarse. Es así como han conseguido convertirlo en un ransomware peligroso, como ya lo han demostrado los casos en EEUU y Reino Unido.
La estafa no tiene intención de devolver los archivos cifrados, según los investigadores de ciberseguridad. Esto se debe a la carencia de un enlace para determinar qué usuario ha pagado o de instrucciones de comunicación, que hacen que el plan de rescate falle. Aunque la víctima haya pagado, posiblemente no termine recuperando sus documentos filtrados. En Proofpoint consideran que podría ser «un error del propio atacante» o que «el ataque fue diseñado para ser destructivo» desde un principio.