El Ransomware KCW encripta sitios web en Pakistán

Team Kerala Cyber Warriors, un grupo de hackers con sede en India que ha comenzado a instalar ransomware en sitios web con sede en Pakistán. Este ransomware, llamado KCW Ransomware, encripta los archivos en un sitio web y luego exige un pago de rescate para recuperar los archivos.

Puede ver una demostración a continuación de un sitio web infectado por KCW Ransomware.

Cuando se instala KCW Ransomware en un sitio, los archivos del sitio se cifrarán y se les agregará la extensión .kcwenc. Puede ver un ejemplo de archivos encriptados a continuación.

El ataque también dejará un archivo con el nombre kcwdecrypt.php, que cuando se abre muestra una nota de rescate que dice haber sido dejada por un grupo anónimo llamado Team Kerala Cyber Warriors. Esta nota explica qué pasó con el sitio web y proporciona una forma de contactar al grupo en su página de Facebook.

Las páginas web creadas por este grupo están bien hechas y reproducen una canción de fondo. Puedes escuchar esta música en el video de arriba.

Actualmente, no se sabe si hay una plataforma en particular o si los atacantes obtienen acceso a los sitios. Además, no se sabe si el grupo está realmente descifrando archivos si una víctima paga el rescate.

Ataques motivados por la injusticia o la política

Los ataques realizados por Team Kerala Cyber Warriors, el grupo de pirateo de la India detrás de KCW Ransomware, parecen estar motivados políticamente. Según los mensajes publicados en su página de Facebook, estos ataques se están llevando a cabo debido a la injusticia y corrupción del gobierno y contra sitios ubicados en Pakistán.

Por ejemplo, un hack anterior protestó contra la horrible tortura y violación de una niña de 8 años llamada Asifa Bano.

Mientras que en la página de la Wikipedia declara que Team Kerala Cyber Warriors se disolvió en enero de 2018, parece que ellos, o alguien que los represente, todavía está activo.