Chaos ransomware se dirige a los jugadores a través de listas alternativas falsas de Minecraft

La pandilla Chaos Ransomware cifra los dispositivos Windows de los jugadores a través de listas alternativas falsas de Minecraft promocionadas en foros de juegos.

Minecraft es un videojuego sandbox enormemente popular que actualmente juegan más de 140 millones de personas y, según las cifras de ventas de Nintendo, es un título más vendido en Japón.

Enmascarado como un archivo de texto de ‘lista alternativa’

Según investigadores de FortiGuard, una variante descubierta recientemente del ransomware Chaos se está distribuyendo tentativamente en Japón, cifrando los archivos de los jugadores de Minecraft y dejando caer notas de rescate.

El señuelo utilizado por los actores de amenazas son archivos de texto de ‘lista alternativa’ que supuestamente contienen credenciales de cuenta de Minecraft robadas, pero en realidad, es el ejecutable del ransomware Chaos.

Los jugadores de Minecraft que quieran trolear o molestar a otros jugadores sin el riesgo de que sus cuentas sean prohibidas a veces usarán listas ‘alt’ para encontrar cuentas robadas que pueden usar para delitos prohibibles.

Debido a su popularidad, las listas antiguas siempre están en demanda y comúnmente se comparten de forma gratuita o mediante generadores de cuentas automatizados que proporcionan a la comunidad cuentas «de repuesto».

Alt list txt ofrecido para descarga gratuita

El caos ransomware

Al cifrar a las víctimas, el ransomware Chaos agregará cuatro caracteres o dígitos aleatorios como extensión de los archivos cifrados.

El ransomware también arrojará una nota de rescate llamada ‘ReadMe.txt’, donde los actores de la amenaza exigen 2,000 yenes (~ $ 17.56) en tarjetas prepagas.

Nota de rescate lanzada por actores del Caos
Fuente: FortiGuard

Una infección destructiva

Esta variante particular de Chaos Ransomware está configurada para buscar en los sistemas infectados diferentes tipos de archivos menores a 2ΜΒ y los cifra.

Sin embargo, si el archivo tiene más de 2 MB, se inyectarán bytes aleatorios en los archivos, lo que los hará irrecuperables incluso si se paga un rescate.

Debido a la naturaleza destructiva del ataque, aquellos que pagan el rescate solo pueden recuperar archivos más pequeños.

El motivo de esta funcionalidad no está claro y podría deberse a una codificación deficiente, una configuración incorrecta o dañar los archivos de los jugadores a propósito.

En esta campaña en particular, los actores de amenazas están promocionando archivos de texto para crear una falsa sensación de seguridad mientras los intercambian al final por ejecutables.

Los usuarios deben sospechar y no ejecutar ningún archivo que descarguen de Internet a menos que confíen en el sitio y lo hayan escaneado con una herramienta como VirusTotal.

Leave a Comment

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *