Hace poco estuve leyendo el análisis de amenazas de Malwarebytes Labs para Sage Ransomware . Me pareció interesante saber que, al parecer, además de los directorios del sistema, lo que tiene sentido, las rutas a juegos como League of Legends y la ruta a los vapores de vapor están excluidas del ataque. El artículo no especula sobre por qué este es el caso, lo que me deja curioso y especulado. ¿Hay alguna razón evidente por la cual los creadores del malware hicieron esto? ¿O simplemente lo estoy pensando demasiado? ¿Es indicativo de un objetivo demográfico, un vector de ataque y / o un método de entrega? La única razón potencialmente obvia en la que puedo pensar por qué se pudo haber hecho esto es para no interrumpir a un jugador distraído, y así permitir que el proceso continúe ejecutándose en segundo plano y es menos probable que sea notado por el usuario. Sin embargo, siento que esa es una explicación demasiado simple. Me atrevería a decir que el usuario promedio de computadoras no reconocería los signos de infección, incluso si no estuvieran absortos en algún juego o tarea en el sistema. Como es intrínsecamente el caso con la gran mayoría de ransomware, el objetivo demográfico suele ser el usuario ocasional que tiene menos probabilidades de realizar una copia de seguridad de sus datos que un usuario avanzado que probablemente notaría los signos de infección, lo que hace que esta explicación parezca aún menos probable. La mayoría de los datos para muchos juegos no se almacenan localmente (con la mayoría de los datos almacenados localmente también respaldados en la nube, como es el caso de Steam) y las claves de licencia a menudo son administradas por una plataforma de distribución digital, puedo ver por qué sería casi inútil cifrar esos archivos. * Aun así, me atrevería a afirmar que cifrar esos archivos contribuiría aún más a la sensación de invasión / vulnerabilidad / pérdida experimentada por la víctima. Desde un punto de vista de ingeniería social / psicológico, esto probablemente aumentaría las posibilidades de que la víctima pague el rescate. ¿Estoy dando demasiado crédito al creador (es)? Un movimiento como este parece ser algo muy deliberado, lo que me deja muy curioso como motivación.
Reconociendo que tratar de determinar o determinar la motivación real de los codificadores de Sage para sus decisiones de programación será más una cuestión de opinión y de especulación que de hecho, mi pregunta se reduce a dos preguntas que encontré al especular:
- ¿A qué versiones de Windows se dirigen normalmente? Es similar a cómo se propagó WannaCry , apuntando a una amplia variedad de Sistemas operativos de Windows? ¿O estaba más enfocado en el sistema operativo del usuario doméstico (por ejemplo, XP, Vista, 7) en comparación con el sistema operativo comercial (por ejemplo, Windows Server 2000, 2008)?
- ¿En qué se ha difundido / eliminado Sage? Como dice el artículo, "La mayoría de las veces, Sage se elimina mediante scripts de descarga distribuidos a través de correos electrónicos de phishing". Sin embargo, dado que el artículo establece que una de las formas en que se eliminó fue un archivo JavaScript independiente, esto abre numerosos posibles vectores de ataque. Tengo curiosidad por saber si alguien está al tanto de cualquier otro vector de ataque que Sage haya usado, si es que lo hace.
* Hablando principalmente sobre juegos solo en línea como League of Legends donde la información del perfil del usuario se almacena en línea. Sin embargo, Sage excluye todas las rutas de Steamapps, que también es donde se almacena la información de guardado solo para juegos locales / para un solo jugador.
ACTUALIZACIÓN: Solo para aclarar, entiendo por qué es lógico intentar evitar el cifrado de archivos de bajo valor y fácilmente reemplazables. Sin embargo, lo que me parece interesante es la metodología utilizada por los codificadores para lograr esto. Podría decirse que podría generar una lista negra que especifique al menos un centenar de directorios donde los datos y archivos de bajo valor normalmente se almacenan para varios casos de uso. Sin embargo, los codificadores solo excluyeron las rutas de archivos muy específicas del cifrado. ¿No tendría más sentido, si su objetivo es cifrar la mayor cantidad posible de datos con el valor más alto lo más rápido posible, para tratar de apuntar el cifrado a las rutas de archivos donde se almacenan más típicamente los datos más valiosos? Esto limitaría el alcance de los archivos cifrados y aumentaría las posibilidades de captar algo lo suficientemente valioso para motivar a un usuario a pagar el rescate.