Sugar, el “ransomware” dirigido a particulares y pequeñas empresas que pide rescates de baja cuantía

El equipo de seguridad de Walmart ha identificado un nuevo “malware” que, en lugar de dirigirse a redes corporativas, encripta equipos individuales y solicita un rescate de unos pocos cientos de dólares

La baja cuantía de los rescates solicitados indican que Sugar no es un "ransomware" dirigido a grandes empresas, sino a particulares y pequeños negocios.
La baja cuantía de los rescates solicitados indican que Sugar no es un "ransomware" dirigido a grandes empresas, sino a particulares y pequeños negocios. FOTO: La Razón (Custom Credit) Cortesía de Ed Hardie / Unsplash.

El “ransomware” no es solo una preocupación para las grandes empresas. Esta modalidad de cibercrimen, consistente en la encriptación de la información contenida en los ordenadores de una red corporativa para solicitar un cuantioso rescate a cambio de su desencriptación, cuenta con un nuevo “malware” llamado Sugar que está enfocado al secuestro de ordenadores individuales pertenecientes a particulares o pequeños negocios. El equipo de seguridad de Walmart ha identificado este RaaS (“Ransomware as a service” o “ransomware” como servicio) lanzado en noviembre pasado y que está comenzando a cobrar relevancia a comienzos de este 2022

Aunque todavía no se conoce qué medios de distribución se están empleando con Sugar, los investigadores de Walmart sí han podido desentrañar su funcionamiento. Cuando se activa, Sugar comienza por identificar la dirección IP y la ubicación del equipo afectado, para lo que se conecta con las webs whatismyipaddress.com e ip2location.com, respectivamente.

Tras esta comprobación descarga un archivo de 76 MB desde otra localización y finalmente conecta con el servidor con el que se va a comunicar durante el ciberataque. Sugar no encripta todo el ordenador ni impide el uso del sistema operativo, como sucede con otros “malware”. Según el medio Bleeping Computer, que ha realizado sus propios tests con Sugar, este RaaS excluye de la encriptación las carpetas necesarias para el arranque y funcionamiento de Windows así como los tipos de archivos siguientes: BOOTNXT, bootmgr, pagefile, .exe, .dll, .sys, .lnk, .bat, .cmd, .ttf, .manifest, .ttc, .cat y .msi. Lo que el usuario sí encontrará encriptado es el resto de archivos que aparecerán renombrados con la extensión .enconded01.

Sugar también crea en cada carpeta un archivo de texto con el nombre BackFiles_encoded01.txt. Esta nota contiene la información acerca del ciberataque del que se está siendo objeto, un identificador único y un “link” a un sitio de la Web Profunda accesible a través del navegador Tor que informa de cómo pagar el rescate.

En esta web, la víctima accede a una página personalizada con la información del ataque del que está siendo objeto. Se muestra la dirección bitcoin a la que dirigir el pago del rescate, una sección de chat y se le ofrece la posibilidad de desencriptar hasta cinco de los archivos que han sido secuestrados usando el algoritmo de encriptación SCOP.

Captura del sitio en la Web profunda al que dirige Sugar para pagar el rescate.
Captura del sitio en la Web profunda al que dirige Sugar para pagar el rescate. FOTO: La Razón (Custom Credit) Cortesía de Walmart Security Team.

Al contrario de lo que sucede en los ataques a grandes empresas, los objetivos habituales de “ransomware”, Sugar se distingue por la baja cuantía de los pagos que solicita por desencriptar los archivos de la víctima, tan solo unos cientos de dólares. Este aspecto es el que hace suponer a los investigadores de Walmart que el objetivo de Sugar son ordenadores de particulares o pequeñas empresas que en la mayoría de los casos no van a poder afrontar el pago de grandes cantidades de dinero.

En el test realizado por Bleeping Computer, la cantidad solicitada era aún bastante menor, 0.00009921 bitcoins o 4,01 dólares en el momento de redactar la información. El medio conjetura que la extremadamente baja cantidad solicitada puede sugerir una relación entre el tamaño y número de archivos encriptados con el montante del rescate, dado que las pruebas se realizaron en una máquina virtual con muy pocos archivos.