En los últimos meses los investigadores de seguridad están alertando de que algunas familias de ransomware están convirtiéndose poco a poco en multiplataforma.
En esta dirección apunta también Kaspersky, quien ha descubierto nuevos grupos que han aprendido a adaptar su malware a distintos sistemas operativos de manera simultánea.
Una reciente investigación de la compañía ha revelado la actividad de RedAlert y Monster, dos pandillas que han logrado atacar diferentes sistemas operativos sin recurrir a lenguajes multiplataforma.
Kaspersky ha sido testigo de la tendencia de apuntar a varios ecosistemas por parte de los ciberdelincuentes en todo 2022. Su objetivo es dañar el mayor número posible de sistemas adaptando su código de malware a varios SO a la vez.
En el pasado ya se se había hablado de familias de ransomware como Luna o BlackCat que usaban lenguajes multiplataforma como Rust o Golang. Pero ahora las cosas son diferentes, porque los actores de amenazas identificados por la firma de ciberseguridad aunque pueden apuntar a distintos sistemas operativos despliegan un malware que no está escrito en un lenguaje multiplataforma.
Así opera RedAlert
La empresa de origen ruso explica como RedAlert emplea malware escrito en C plano, como se detectó en la muestra de Linux. Sin embargo, este código malicioso soporta explícitamente entornos ESXi.
Además, el sitio web de RedAlert onion ofrece un descifrador para su descarga - desafortunadamente, no hay datos adicionales disponibles sobre si está escrito en lenguaje multiplataforma o no.
RedAlert también tiene otro aspecto diferencial respecto otros grupos de ransomware y es que la pandilla de ransomware sólo acepta pagos en la criptomoneda Monero, haciéndolos más complicado de rastrear. Lo que choca un poco a los investigadores es que Monero no se acepta en todos los países ni en todas las casas de cambio, por lo que las víctimas podrían tener problemas para pagar el rescate.
Así opera Monster
El segundo grupo del que habla Kaspersky es Monster. Se caracteriza por aplicar Delphi, un lenguaje de programación que, sin embargo, se expande en diferentes sistemas.
Una de sus peculiaridades es que cuenta con una interfaz gráfica de usuario (GUI), un componente que nunca antes había sido implementado por grupos de ransomware.
Por otro lado, los piratas ejecutan los ataques de ransomware mediate la línea de comandos de forma automatizada durante un ataque dirigido. Según la muestra extraída por los investigadores, los creadores del ransomware incluyeron la GUI como un parámetro opcional de la línea de comandos. Monster se ha encontrado llevando a cabo ataques a usuarios de Singapur, Indonesia y Bolivia.