El Laboratorio de ESET Latinoamérica descubrió que nuestro país es el más afectado por casos de infección con Multilocker. Durante el último año las detecciones de LockScreen aumentaron tres veces.
Multilocker es un tipo de código malicioso que bloquea el acceso a la computadora con el objetivo de pedir dinero a cambio de devolverle el control al usuario.
En 2012 México ocupaba la posición 37 a nivel mundial de detecciones de LockScreen. En la actualidad, ascendió a la posición 11, siendo en todos los casos, el país más afectado de América Latina por esta amenaza.
ESET aconseja que la víctima nunca pague el monto solicitado por el atacante. Hacerlo supone fomentar este tipo de negocio ilícito a través de la infección de amenazas que extorsionan al usuario. Por otro lado, y pese a que este tipo de malware ofrece la posibilidad de desinfectar la computadora afectada, el pago no garantiza que los atacantes vayan a ejecutar dicho comando. Por lo tanto, se recomienda tener una solución de seguridad instalada y actualizada para poder detectar y evitar estas amenazas a tiempo.
Estos códigos maliciosos suelen informarle a la víctima que si paga, se le devolverá el acceso al sistema y archivos. Con respecto a este punto, Multi Locker implementa en el C&C una sección denominada Staff. Dicha opción agrupa todo lo relacionado al robo de dinero a través de la extorsión de la víctima. Allí se muestra el código de comprobación de pago que el usuario envía. También se muestra la dirección IP, el código de comprobación de pago, y fecha y hora en que ocurre el envío del supuesto pago. Asimismo, desde Staff el atacante también puede desbloquear la computadora de la persona en caso que el pago se concrete de acuerdo a lo estipulado por el ciberdelincuente.
En caso que ese comando sea enviado, el código malicioso se remueve de la computadora de la víctima y también elimina su archivo para evitar que el usuario lo reporte a empresas como ESET para su detección posterior. En Staff el atacante también puede modificar los mensajes de extorsión ingresando a la subsección “Lending Page”. Es importante destacar que este crimepack incluye plantillas de campañas de propagación en varios idiomas como español, inglés, portugués, alemán, entre otros. Este punto demuestra que los cibercriminales se están ocupando de conseguir la mayor cantidad de víctimas posibles. La siguiente captura muestra la sección de edición de plantillas de Multi Locker.
Cada archivo PHP que aparece es la plantilla que puede ser modificada por el atacante para actualizar las campañas de propagación. Finalmente, Admin agrupa opciones como la posibilidad de obtener “soporte” por parte del creador de este crimepack, el cambio de contraseñas del panel y la posibilidad de cerrar sesión en el mismo. A continuación, se muestra una captura del formulario de “asistencia técnica”.