Sugar es un nuevo ransomware que no tiene nada de dulce y el cual ha sido identificado por el equipo de seguridad de Walmart.

El ransomware se han convertido en un mal endémica cuya erradicación va a llevar tiempo. Los motivos que podemos esgrimir son muchos, pero el más claro es que se trata de algo que evoluciona y crece día tras día. Cada vez son más numerosos y, para desgracia de aquellos que los sufren, más destructivos. A pesar de todos los esfuerzos, evitar que nazca uno nuevo es complicado, y de eso es de lo que vamos a hablar en texto. El equipo de seguridad de Walmart ha descubierto recientemente un nuevo ransowmare cuyo objetivo no es otro que secuestrar PC’s. Nada nuevo en este aspecto, salvo que sus objetivos principales son aquellos PC’s que pertenecen a particulares o pequeños negocios. El nombre del nuevo ransomware es «Sugar», pero de dulce no tiene nada. Es más amargo que un café intenso. Sugar es un nuevo ransomware que no tiene nada de dulce.

El equipo de seguridad de Walmart detectó este RaaS en noviembre de 2021, pero está siendo en 2022 cuando más relevancia está tomando. Si bien aún no se conocen que medios de distribución están usando los ciberdelincuentes, sí sabemos algunas de sus características. Lo primero que han mencionado los investigadores es que, una vez que Sugar es activado, empieza por identificar la dirección IP del PC y localización del equipo afectado. Para lograrlo se conecta a las webs: whatismyipaddress.com e ip2location.com. Una vez conseguido, el RaaS descarga un archivo de 76MB desde otra localización y conecta con el servidor. Tras conseguirlo, comunica el ciberataque. Lo curioso es que no encripta todo el equipo, ni impide su uso, ya que excluye de la encriptación las carpetas necesarias para el arranque y funcionamiento de Windows. También excluye: BOOTNXT, bootmgr, pagefile, .exe, .dll, .sys, .lnk, .bat, .cmd, .ttf, .manifest, .ttc, .cat y .msi.

¿Qué encripta entonces el ransomware Sugar?

Entonces, si Sugar hace caso omiso de los archivos de arranque y del resto, ¿Qué encripta? El resto de archivos, los cuales aparecerán renombrados con la extensión .enconded01. De forma adicional, el ransomware crea en cada carpeta un .txt con el nombre BackFiles_encoded01.txt. En ella, los usuarios afectados encontrarán información sobre el ciberataque, un identificador y un enlace a la Deep Web. Si pinchamos en el enlace entraremos a través del navegador Tor y en él nos informarán de cómo pagar el rescate. ¿Qué encontraremos al acceder en la web? Pues nada más y nada menos que una página personalizada con información del ciberataque, una dirección bitcoin en la que pagar y una sección de chat. A la víctima se le ofrecerá la posibilidad de desencriptar hasta cinco archivos mediante el algoritmo de encriptación SCOP. Como es costumbre, os recomendamos máxima prudencia, especialmente a particulares y dueños de pequeños negocios.