nRansomware: Envía tus desnudos para rescatar la información

El ransomware tradicional ya causa demasiado daño por sí solo, pero lo que acaba de aparecer en la Web tiene un lado absurdo, y al mismo tiempo pervertido. En vez de solicitar un «rescate» clásico en bitcoins u otra criptomoneda, el nuevo nRansomware le pide a la víctima un mínimo de diez desnudos antes de enviar el código para liberar los datos.

El 2017 ya nos marcó con dos campañas masivas de ransomware, demostrando una vez más la poca preparación que algunas compañías y organizaciones tienen frente a esta clase de ataques, pero el ransomware no discrimina, y también golpea a los usuarios con la misma intensidad. Los principales jugadores en el mercado de la seguridad informática hacen lo posible para ofrecer soluciones robustas de protección, sin embargo, toda la situación equivale a una carrera armamentista, con ambos lados buscando ubicarse un escalón por arriba. Ahora, ¿qué pasa cuando la motivación de un atacante no es el dinero? Las criptomonedas simplifican en gran medida la recolección de los «rescates», y se han vuelto el medio de pago preferido, pero el responsable del nuevo nRansomware quiere otra cosa…

En vez de pagar con bitcoins o Ethereum, nRansomware reclama un mínimo de diez desnudos pertenecientes al usuario. La transferencia de las imágenes se debe llevar a cabo con una cuenta de correo de Protonmail, y una vez que el autor del ransomware haya «verificado» la legitimidad de las fotos, enviará el código. Todo el proceso es tan absurdo que resulta difícil tomarlo en serio. La imagen de bloqueo está compuesta por un mosaico de Thomas La Locomotora gritando «F*ck You!», mientras reproduce en segundo plano la canción de apertura de la serie Curb Your Enthusiasm.

Ahora, ¿es un ataque legítimo o no? Los investigadores no se han expresado al respecto, pero sí confirmaron que en realidad el ransomware no está cifrando nada, sino que se trata de un screenlocker. De hecho, su calidad es tan baja que el código en la muestra descubierta es 12345… y no funciona correctamente. Por otro lado, Protonmail ya dio de baja la dirección que aparece en la imagen. En lo personal espero que no sea una «prueba de vuelo» para algo más serio.