Ataque cibernético masivo

Nuevo ataque cibernético masivo, ahora con GandCrab 2.0

En este caso las primeras versiones aparecieron ya meses atrás, pero el autor de este Ransomware es muy activo y ha lanzado al menos cinco versiones hasta la fecha. Si bien no existen grandes diferencias entre las dos versiones de este Malware, los frecuentes cambios demuestra el tiempo que los atacantes están invirtiendo para mantenerlo y desarrollarlo.

El GandCrab es también el primer ransomware que exige el pago en criptomonedas DASH y utiliza el dominio de nivel superior (TLD) “.bit”. Este TLD no está sancionado por la ICANN y, por lo tanto, proporciona un nivel extra de confidencialidad a los atacantes.

Propagación.

El GandCrab se distribuye a través de múltiples vectores de propagación, que incluyen correos electrónicos no deseados, kits de explotación y otras campañas de malware asociado. GrandSoft y RIG son los dos kits de exploits más utilizados para distribuir GandCrab junto con la gran cantidad de correos electrónicos no deseados maliciosos. Estos correos electrónicos no deseados engañan a los usuarios para que abran el archivo que se encuentra dentro del archivo ZIP adjunto, que generalmente es un script que descarga el Ransomware de GandCrab y lo ejecuta.

El archivo JavaScript está oculto. Tras la ejecución, decodifica una URL donde se aloja GandCrab. El script luego descarga el Malware a un archivo en el disco y lo ejecuta.