Ammyy Admin es un software de escritorio y control remoto para ordenadores, similar a Team Viewer. Su página de descarga oficial fue utilizada más de una vez para propagar malware; por ejemplo, en octubre y noviembre de 2015, investigadores de ESET descubrieron que la versión gratuita del software se descargaba junto a un instalador que incorporaba herramientas de espionaje a los equipos de los usuarios. Esto era posible porque la página de descarga de la herramienta había sido comprometida, lo que permitió alterar el paquete ofrecido a los usuarios.
Esto mismo ocurrió de vuelta esta semana, cuando Softpedia alertó sobre la presencia de un binario llamado "encrypted.exe" empaquetado en el ejecutable original y legítimo de Ammy Admin (llamado AA_v3.exe). De esta forma, cada usuario que ejecutara el instalador ejecutaría también este archivo malicioso, cuyo fin último es instalar al ransomware Cerber.
La amenaza está escondida en el archivo que simula ser el programa de Ammyy, y es detectada por las soluciones de seguridad de ESET como Win32/Filecoder.Cerber.B.
La última versión de Cerber
Cerber es un ransomware que usa AES para cifrar los archivos de sus víctimas. Apareció a principio de año y fue corrigiendo errores a través del lanzamiento de nuevas versiones; la distribuida en el instalador de Ammyy Admin es la tercera, y cifra los archivos con la extensión .cerber3. Por el momento no ha sido posible descifrarlo, ya que los cibercriminales corrigieron algunas fallas que presentaban las versiones anteriores.
Tal como explica Tripwire, Cerber funciona bajo la modalidad de Ransomware as a Service (RaaS), es decir, como un servicio que se puede adquirir y ejecutar independientemente de los conocimientos técnicos de quien lo utilice. En julio de 2016 sus variantes tuvieron un pico de infecciones que alcanzaron a recaudar hasta 200 mil dólares para los cibercriminales detrás.
Para evitar ser víctima de este y otros tipos de ransomware, o si lo fuiste y necesitas saber qué hacer, lee nuestro artículo que describe 11 formas de protegerte del ransomware.