El ransomware es conocido por el cifrado malicioso y las peticiones de rescate, pero ha surgido una nueva amenaza que lo lleva aún más lejos. Recientemente, el ransomware llamado Sarbloh ha estado haciendo de las suyas no sólo cifrando datos, sino también enviando apoyo a los agricultores que protestan en la India a cambio de un rescate monetario.
En 2020, el Gobierno de la India aprobó nuevas leyes agrícolas con el objetivo de modernizar y mejorar la industria agrícola.
Sin embargo, algunos agricultores indios están protestando en un intento de retirar estas leyes, ya que creen que el nuevo sistema podría afectar negativamente a sus operaciones y retornos normales.
Según los informes de JoeSandbox Cloud, un grupo de hackers que se hace llamar Khalsa Cyber Fauj ha aprovechado esta oportunidad para combinar sus habilidades cibernéticas e implementar el ransomware Sarbloh a través de un archivo de Microsoft Word infectado utilizando un comando de macro incrustado en él.
El documento inicial de Word se distribuye mediante campañas de phishing, y una vez que la víctima descarga y abre el documento, se le pide que "habilite el contenido", lo que iniciará la ejecución del ransomware.
Lo que hace que esta situación sea aún más preocupante es que, tal y como indica la nota de rescate, los archivos cifrados son irrecuperables hasta que se cumplan las exigencias de los agricultores.
Dado que las protestas están en marcha desde noviembre de 2020 y no hay un final a la vista, esto no supone ser una perspectiva muy positiva para las organizaciones afectadas por Sarbloh.
Se aconseja a los usuarios que no descarguen ningún archivo adjunto, especialmente documentos de Word, a menos que estén seguros del remitente, y si ya lo han descargado, eviten abrirlo.
El ransomware Sarbloh parece haber sido desarrollado utilizando una variante de Ransomware como Servicio de código abierto llamada KhalsaCrypt.
Anteriormente se identificó una debilidad en el ransomware KhalsaCrypt, que permitirá a los profesionales de la seguridad recuperar los datos cifrados utilizando un servicio de copia de volumen invisible, siempre y cuando Sarbloh no reciba ninguna actualización para eludirlo.
Recuerde que no todo el ransomware está asociado a las vulnerabilidades de la red o del dispositivo, y que a veces es algo más que un simple exploit.
En este caso, la conciencia cibernética es su mejor defensa: si se mantiene alerta y confirma la legitimidad de los archivos adjuntos en los correos electrónicos antes de abrirlos, es mucho menos probable que sea víctima del ransomware Sarbloh.
Giridhara Raam es un evangelizador de productos en ManageEngine, una división de Zoho Corporation, a quien le encanta hablar de seguridad informática, infoseguridad, inteligencia artificial y gestión unificada de endpoints para educar a los profesionales de TI sobre las últimas amenazas en la industria. Es un profesional del marketing, bloguero, conferencista y sabelotodo cuando se trata del GDPR, la CCPA, la LGPD, el Brexit, la Ley SHIELD y mucho más.