- A estos documentos se puede acceder desde la parte pública del portal del CCN-CERT.
- Este malware de tipo ransomware está siendo utilizado en las últimas campañas de ataques que se aprovechan de la preocupación global por la crisis del COVID-19.
- Los informes ID-09/20, ID-10/20 e ID-11/20 se suman al resto de información publicada en la sección CiberCOVID19, un contenido de gran utilidad para hacer frente a los riesgos cibernéticos relacionados con la crisis del coronavirus.
El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado tres nuevos documentos en la parte pública de su portal. Se trata de los Informes Código Dañino CCN-CERT ID-09/20 “Guloader”, ID-10/20 “AZORult” e ID-11/20 Ragnar Locker, en los cuales se muestra el análisis llevado a cabo de las respectivas muestras de ransomware. Estos tres informes se han integrado dentro de la sección del portal del CCNCERT, CIberCOVID19, junto al resto de contenido de utilidad para hacer frente a los riesgos cibernéticos asociados a la crisis del coronavirus.
El Informe CCN-CERT ID-09/20 recoge el análisis de la muestra de código dañino correspondiente a la familia de downloaders Guloader, el cual apareció en escena en diciembre 2019, pero que ha alcanzado un importante pico durante abril de 2020. Recientemente se ha tenido constancia de una campaña de malware en España y Portugal, en la que usando de gancho una falsa vacuna contra el COVID-19, se insta al destinatario a abrir un archivo adjunto, llamado 'COVID- 19.exe' dentro de 'COVID- 19.tar', que contiene una versión comprimida de Guloader.
Por su parte, el Informe CCN-CERT ID-10/20 recoge el análisis de AZORult, un stealer multipropósito ampliamente vendido en determinados foros underground hasta 2018 y utilizado desde hace años en incidentes relacionados principalmente con el robo de información bancaria (tarjetas de crédito, carteras Bitcoin, etc.) y credenciales. En las últimas semanas ha sido encontrado diseñado especialmente para aprovecharse de la preocupación por el COVID-19. En concreto, se está distribuyendo haciéndose pasar por un "mapa del coronavirus”, el cual se distribuye como una app para conocer la evolución del COVID-19 pero que, en realidad, oculta una evolución de AZORult.
Por último, en el Informe CCN-CERT ID-11/20 queda recogido el análisis de la muestra de código dañino identificada por la firma MD5 7529E3C83618F5E3A4CC6DBF3A8534A6, perteneciente a la familia de ransomware Ragnar Locker. El principal objetivo de esta muestra es cifrar los ficheros del sistema afectado para, posteriormente, solicitar el pago de un rescate en bitcoins a cambio de la herramienta de descifrado.
CCN-CERT (27/04/2020)
