Cuando comentamos la noticia de la detención de un grupo de delincuentes que utilizaban el ransomware conocido popularmente como “Virus de la Policía”, ya avisábamos de que, a pesar del notable esfuerzo realizado por la Brigada de Investigación Tecnológica de la Policía Nacional, la operación tan solo había terminado con uno de los numerosos grupos que utilizan esta técnica para conseguir importantes cantidades de dinero.
La detención de uno de estos grupos no ha afectado a aquellos que realmente se encargan de innovar sacando nuevas variantes con funcionalidades mejoradas. Un ejemplo de ello es esta captura de una de las variantes más recientes que afecta a usuarios españoles.
Entre las novedades más importantes de esta nueva variante destacamos (gracias a la información proporcionada desde el blog del investigador Kafeine) la descarga desde el centro de mando y control del diseño personalizado dependiendo del país desde donde se conecte el usuario, en lugar de estar incluido en el código malicioso que causa la infección.
Vemos también cómo se siguen usando métodos de pago que son difíciles de rastrear como Ukash o PaySafeCard, indicando a los usuarios dónde pueden adquirirlos. Esta ha sido una constante prácticamente desde el principio de la aparición de este ransomware, que ha evitado utilizar la tarjeta de crédito de la víctima como método de pago, muy probablemente para evitar su rastreo y la utilización de muleros.
Pero si hay algo que nos ha llamado especialmente la atención ha sido la utilización, por primera vez, del nombre de las fuerzas de seguridad de varios países de Latinoamérica, entre los que encontramos Argentina, Bolivia, Ecuador y México.
Los métodos de pago siguen siendo los mismos pero varía la cantidad a ingresar dependiendo del país de la víctima. Estas cantidades varían entre los 200 pesos argentinos (o 50 dólares) que piden a usuarios de Argentina, a los 2000 pesos mexicanos (alrededor de 150 dólares) que piden a los usuarios de México.
Es muy probable que este intento de sacar dinero a usuarios de Latinoamérica sea una prueba para ver cómo de rentable es incluir a estos países en la lista de objetivos. Sabiendo que las víctimas potenciales suman decenas de millones de usuarios y el importante crecimiento económico experimentado en los últimos años por algunos países de la región, no nos extrañaríamos de ver próximamente nuevas variantes que incluyeran a más países de esa zona.
Sea como sea, el “Virus de la Policía” sigue más activo que nunca y lo seguirá estando mientras reporte beneficios a todas las bandas de cibercriminales que lo utilizan para extorsionar a los usuarios. Está en nuestras manos evitar infectarnos utilizando una solución de seguridad y actualizando o desinstalando programas como Java que son usados por muchas variantes de este malware como vector de infección.