Onion utiliza una cuenta atrás para asustar a las víctimas, que deben pagar por el descifrado de la información en Bitcoins en un plazo de 72 horas. Fedor Sinitsyn, analista de Kaspersky Lab, califica a Onion como “una amenaza muy peligrosa y uno de los cifradores más avanzados tecnológicamente que existen”.
Ya sabíamos que el malware tipo ransomware iba a ser una de las grandes amenazas de este año, pero lo que no sabíamos es hasta que punto iba a evolucionar con la aparición de nuevas fórmulas, cada cual más peligrosa. La última, bautizada por Kaspersky Lab como “Onion”, utiliza la red TOR (The Onion Router) para ocultar su naturaleza maliciosa y dificultar el seguimiento de los cibercriminales que están detrás de esta campaña de malware.
Onion es un nuevo tipo de ransomware cifrado que insta a sus víctimas a pagar por el descifrado de la información en Bitcoins. Para asustarlas, utiliza un mecanismo de cuenta atrás, de manera que tienen un plazo de 72 horas para realizar el pago, o todos los archivos se perderán para siempre.
Para transferir datos secretos e información de pago, Onion se comunica con los servidores de comando y control ubicados en algún lugar dentro de la red TOR, que permite mantener en el anonimato la dirección IP y la información que viaja con ella. Esto sumado a las mejoras técnicas de Onion lo convierten en una amenaza realmente peligrosa y en uno de los cifradores más sofisticados de hoy, pudiendo incluso llegar a convertirse en el sucesor de CryptoLocker.
“Parece que TOR se ha convertido en un sistema eficaz para comunicaciones y está siendo utilizado por otro tipo de malware”, afirma Fedor Sinitsyn, analista senior de malware de Kaspersky Lab. “Ocultar los servidores de comando y control en la red TOR complica la búsqueda de los ciberdelincuentes, y el uso de un esquema criptográfico poco ortodoxo hace que sea imposible el descifrado, incluso si se intercepta el tráfico entre el troyano y el servidor. Todo esto, hace de Onion una amenaza muy peligrosa y uno de los cifradores más avanzados tecnológicamente que existen”.
De momento, la mayoría de intentos de infección se han registrado en ex-repúblicas soviéticas, pero también se han detectado casos en Alemania, Bulgaria, Israel, los Emiratos Árabes y Libia.
– Hilda Gómez
