Thiefquest Mac ransomware y descifrado

Thiefquest es el nombre de una cepa de ransomware que se difundió en 2020. Inicialmente se pensó que el malware era ransomware, ya que mostraría un mensaje de advertencia y soltaría una nota de rescate. Sin embargo, un análisis más detallado reveló que el malware no es exactamente un ransomware, sino un limpiador.

Aunque Thiefquest mostraría un mensaje de advertencia en los sistemas Windows y Mac, y dejaría una nota de rescate llamada READ_ME_NOW.txt en el escritorio, y habría una cadena de billetera bitcoin en la nota de rescate, los investigadores de seguridad revelaron que este dinero era más parecido una donación a los malos actores que operan el malware.

El análisis mostró que Thiefquest no tenía la infraestructura adecuada ni identificadores sólidos, que pudiera usar para identificar qué víctima hizo el pago.

Los investigadores creen que la nota de rescate actúa más como una cortina de humo para enmascarar el verdadero propósito del malware: la exfiltración y el robo de datos.

Para los sistemas MacOS, Thiefquest se distribuye en instaladores de aplicaciones falsas cargadas de malware, que pretenden ser aplicaciones populares como Ableton Live y Mixed In Key, curiosamente ambas aplicaciones dirigidas a personas que trabajan en la producción musical.

Una vez desplegado en la computadora de la víctima, Thiefquest comenzaría a encriptar archivos y finalmente mostraría una ventana emergente con su mensaje y el nombre de su nota de rescate, así como la demanda de pago de $ 50 dólares.

En el panorama actual del malware, donde los actores de amenazas apuntan a corporaciones y entidades multimillonarias, las demandas de rescate de 50 dólares parecen ridículas, pero el ransomware como Thiefquest no es una herramienta de ataque dirigida. Si bien la mayoría de los operadores de ransomware modernos investigan cuidadosamente sus objetivos y ejecutan ataques de precisión, el ransomware como Thiefquest se distribuye a través de campañas de spam maliciosas o descargas maliciosas alojadas en línea.

Investigaciones adicionales mostraron que el código de Thiefquest no contiene ninguna llamada a su rutina de descifrado, por lo que prácticamente no hay forma de restaurar archivos cifrados enviando dinero a los operadores de ransomware.

Una característica curiosa de Thiefquest es que en realidad buscará archivos ejecutables y les agregará código malicioso, lo que le dará un comportamiento similar a un virus y lo convertirá en una de las pocas cepas de malware similar a un virus que afectan los sistemas MacOS.

Para los usuarios de Mac, existe una herramienta de descifrado gratuita para Thiefquest publicada en línea. La herramienta fue desarrollada por la empresa de ciberseguridad SentinelOne y se basó en encontrar una función de descifrado dentro del código del malware. Puede descargar la herramienta de forma gratuita en línea y utilizarla para descifrar un sistema que se ha visto afectado por el malware Thiefquest.