Tras un período de calma del ransomware de TorrentLocker, éste ha vuelto a aparecer recientemente con nuevas variantes (detectadas como Ransom_CRYPTLOCK.DLFLVV, Ransom_CRYPTLOCK.DLFVW, Ransom_CRYPTLOCK.DLFVS y Ransom_CRYPTLOCK.DLFLVU). Estas nuevas variantes están recurriendo como método de propagación a un mecanismo que explota y abusa de las cuentas de Dropbox.

TorrentLocker se ha mantenido activo incluso tras alcanzar su momento álgido, con unas tasas de detección bajas, lo que ha permitido a los cibercriminales culpables de la propagación del ransomware continuar trabajando en la sombra, mientras prosiguen los ataques contra victimas involuntarias.

 Un enemigo familiar con un nuevo disfraz

Las nuevas variantes TorrentLocker mantienen el mismo modus operandi que los ejemplos que Trend Micro ha detectado anteriormente, aunque los cambios más significativos se dan en su nuevo método de distribución y en la manera en el que el propio malware está comprimido.

Un ejemplo del nuevo ataque TorrentLocker comienza con un e-mail que simula una factura enviada por un distribuidor de la organización donde trabaja la víctima. La factura no se envía de forma adjunta, sino que se accede a ella a través de un link de Dropbox que contiene un texto haciendo referencia a facturas o números de cuenta para, así, parecer auténtico. El uso del Dropbox mediante un link de una URL permite a TorrentLocker traspasar los sensores del gateway, ya que no existen restricciones y el link proviene aparentemente de una página web legitimada.

Una vez que el usuario pincha en el link, se descarga un archivo JavaScript (JS_NEMUCOD) que simula ser una factura en el ordenador de la víctima. Cuando trata de abrir la factura falsa, se descargará otro archivo JavaScript en la memoria, al que seguirá la consiguiente descarga y ejecución de la carga útil de TorrentLocker que se ejecutará automáticamente en el sistema.

Un patrón de comportamiento que siguen las nuevas variantes TorrentLocker es que están comprimidas en instaladores NSIS para impedir su detección, una técnica que también es utilizada por otros ransomware destacados como CERBER, LOCKY, SAGE y SPORA.

Alcance de los ataques

Sólo entre el 26 de febrero y el 6 de marzo de 2017, Trend Micro detectó, a través de su tecnología Smart Protection Network, 54.688 casos de emails de spam que incluían URL dirigidas a 815 cuentas diferentes de Dropbox. La mayor parte de ellas tuvo lugar en Europa, siendo Alemania y Noruega los países con mayor porcentaje de infecciones. Los ataques en Noruega surgieron a finales de febrero, pero su desplazamiento hacia Alemania fue paulatino durante el mes de marzo. Los autores del ransomware lanzaron el mayor número de ataques en los días laborables, mientras que la intensidad se veía rebajaba los fines de semana. El equipo de investigación de Trend Micro ha descubierto índices de infección elevados en la franja horaria de entre las 9:00 y las 10:00 de la mañana, coincidiendo con el inicio de la jornada laboral, que es cuando los empleados generalmente comprueban sus emails. Las organizaciones utilizan a menudo Dropbox para gestionar y transferir sus archivos, por lo que resulta comprensible que los empleados confíen en la legitimidad de esas URL que reciben a través de sus emails.