Familias ransomware: acciones de respuesta y recuperación

Fecha de publicación 04/01/2024
Autor
INCIBE (INCIBE)
Familias ransomware: acciones de respuesta y recuperación

El ransomware es una de las ciberamenazas más habitual y perjudicial del panorama actual. Se trata de un tipo de software malicioso diseñado para cifrar archivos y extorsionar a las víctimas para poder recuperar los datos.

El primer ransomware catalogado fue el AIDS Trojan, también conocido como PC Cyborg. Creado en 1989, cifraba los nombres de los archivos en la unidad C: inutilizando el sistema y exigía el pago de 189$ a un apartado postal en Panamá para obtener la herramienta de descifrado. Este malware inauguró los ciberataques de extorsión simple. Con el tiempo, en los ataques de doble extorsión, como el de Maze en 2019, los delincuentes no solo cifran los datos, sino que también amenazaban con revelar información confidencial. Los de triple extorsión incorporan la amenaza de ataques de denegación de servicio, intensificando así la coacción, como Avaddon en 2021, mientras que los de cuádruple extorsión añaden presiones externas, involucrando a clientes y socios de las víctimas.

Niveles de extorsión del ransom

- Niveles de extorsión del ransomware. Fuente -

El ransomware se ha introducido en modelos de mercado, convirtiéndose en un negocio rentable para los ciberdelincuentes, lo que además le permite estar en constante innovación, presentando altos riesgos y desafíos para la seguridad digital global.

Su auge puede atribuirse, en parte, a la facilidad con la que puede propagarse, la diversidad de vectores de infección disponibles, y la disponibilidad de plataformas en la dark web que permiten a la industria del cibercrimen operar bajo modelos de negocio altamente estructurados, como el Ransomware-as-a-Service (RaaS). En él los actores maliciosos ofrecen servicios de ransomware a suscriptores, permitiendo a los ciberdelincuentes con menos conocimientos técnicos lanzar ataques efectivos. En este modelo, los desarrolladores se focalizan en crear malware más avanzado y adaptable a diferentes tecnologías y necesidades de sus clientes, como se observa en el caso de Hive, un ransomware multiplataforma.

Los creadores, incluso están invirtiendo en programas de recompensas (bug bounty), pagando sumas sustanciales a individuos que les ayudan a identificar y corregir fallos en su código para mantener su software malicioso seguro y efectivo, como se ha visto recientemente con LockBit. Esta inversión en asegurar sus sistemas resalta la paradoja de estos grupos de ciberdelincuentes que, mientras comprometen y explotan la seguridad de organizaciones y usuarios, se esfuerzan por optimizar y proteger sus propias operaciones ilícitas.
 

Características del ransomware


Infección y propagación:

A lo largo de estos últimos tiempos, los centenares de familias y variantes existentes han explotado una variedad de métodos para infectar y propagarse, utilizando tácticas cada vez más sofisticadas y diversificadas. Aquí presentamos un resumen de cómo se propagaron principalmente algunas de las más notorias, aunque estas categorías no son mutuamente excluyentes, y muchas se adaptaron, refinaron y combinaron diferentes métodos conforme avanzaron en el tiempo:

  • Correo electrónico (Phishing): TeslaCrypt, CERBER, Nemucod, LECHIFFRE, MirCop, o Stampado se hicieron famosos por campañas de phishing, utilizando correos electrónicos engañosos con enlaces o archivos adjuntos maliciosos.
  • Kits de explotación: CryptXXX, SNSLocker, XORIST, o DXXD explotaron kits de explotación para comprometer sitios web y, por consiguiente, infectar a los visitantes.
  • Descargas y actualizaciones maliciosas de software: BadBlock, 777, DemoTool, Crysis, o TeleCrypt se infiltraron a través de descargas de software contaminado y actualizaciones maliciosas, corrompiendo sistemas Macros maliciosas en documentos: AutoLocky o XORBAT se diseminaron mediante documentos con macros maliciosas, engañando a los usuarios para que habilitaran funciones perjudiciales.
  • Explotación de vulnerabilidades de red: WannaCry, Petya, Chimera, Jigsaw, Globe/Purge, o Teamxrat/Xpan destacaron por explotar vulnerabilidades de red, extendiéndose de manera autónoma por redes locales y por internet, y, en algunos casos, afectando directamente a servidores y sistemas de archivos para cifrar la mayor cantidad de datos posible.

Evasión de la detección y persistencia:

Generalmente, antes de proceder al cifrado, estos programas maliciosos desactivan y alteran servicios y procesos relacionados con la seguridad y la recuperación del sistema, neutralizando herramientas de seguridad y eliminando copias de seguridad. Además, modifican registros y configuraciones del sistema para mantener su presencia y operación continua, y borran rastros de su actividad maliciosa para dificultar los análisis forenses y post-infección.

Cifrado:

WannaCry, Petya, y otros, se han caracterizado por el uso de sofisticados algoritmos de cifrado, buscando optimizar la eficiencia de sus ataques y asegurar que las víctimas se vean forzadas a pagar el rescate. Muchos de estas familias implementan algoritmos de cifrado robustos y reconocidos, como RSA y AES, para garantizar la irreversibilidad del cifrado sin la clave adecuada. Algunos como XORIST, XORBAT, y Stampado, optaron por desarrollar sus propios algoritmos de cifrado o modificar algoritmos existentes para complicar el proceso de descifrado.

Respuesta y desinfección

El alto grado de sofisticación en el desarrollo y despliegue del ransomware está forzando a las organizaciones, proveedores de ciberseguridad, gobiernos y cuerpos policiales a redoblar sus esfuerzos en ciberseguridad para anticiparse y contrarrestar estos ataques.

La recuperación de ficheros cifrados puede lograrse principalmente por dos vías. La primera ocurre cuando, debido a la colaboración policial, se logra la detención de los grupos de ciberdelincuentes y, como resultado, se obtienen y publican las claves de descifrado necesarias para liberar los sistemas afectados, con las que es fácil crear herramientas para automatizar el descifrado de equipos. Esta situación permite a las víctimas restaurar sus sistemas sin tener que pagar el rescate demandado por los atacantes. Sin embargo, otros grupos suelen surgir rápidamente, retomando y perfeccionando los códigos y tácticas de sus predecesores. Estos nuevos grupos, a menudo, reinician las actividades delictivas con mayores niveles de sofisticación y evasión.

La segunda vía se basa en el trabajo de investigadores de seguridad, que, mediante el estudio de muestras maliciosas y la aplicación de técnicas de ingeniería inversa, pueden encontrar vulnerabilidades en el código del programa malicioso y desarrollar (aunque no siempre) métodos para descifrar los archivos afectados. Por ejemplo, la primera versión de DMA Locker contenía la clave de cifrado integrada en su propio código, facilitando así su recuperación. Sin embargo, el problema crucial con este segundo enfoque es que una vez que se descubre y publica un decryptor (o descifrador), los desarrolladores del ransomware pueden corregir el fallo en cuestión y lanzar nuevas versiones del malware que ya no son susceptibles a la misma contramedida. Esta constante carrera entre la creación de medidas de defensa y la evolución del ransomware subraya la naturaleza dinámica y adaptativa de la amenaza.

En los últimos años, el ecosistema de la ciberseguridad ha comenzado a proveer herramientas que permiten descifrar varias familias, lo que facilita mucho el trabajo de recuperación de los usuarios afectados. Una de las más interesantes es la que ofrece la empresa Trend Micro, con su Trend Micro Ransomware File Decryptor, actualmente es posible descifrar ficheros de algunas de las siguientes familias: CryptXXX, TeslaCrypt, SNSLocker, AutoLocky, BadBlock, 777, XORIST, XORBAT, CERBER, Stampado, Nemucod, Chimera, LECHIFFRE, MirCop, Jigsaw, Globe/Purge, DXXD, Teamxrat/Xpan, Crysis, TeleCrypt, DemoTool, WannaCry, Petya. A continuación, ofrecemos una guía de uso:

Descarga e instalación

La instalación de la herramienta implica los siguientes pasos simplificados:

  • Descargar: Haz clic en el botón ‘Download’ para obtener la última versión de la herramienta.
  • Descomprimir y ejecutar: Una vez descargada, debes descomprimir el archivo y luego ejecutar el archivo 'RansomwareFileDecryptor.exe' incluido.
  • Aceptar el EULA: Al iniciar la herramienta, se te solicitará que aceptes el Acuerdo de Licencia para Usuarios Finales (EULA) para poder proceder.

Desinfección

Una vez realizados estos pasos, podrás acceder a la interfaz principal del usuario y seguir las instrucciones proporcionadas para iniciar el proceso de descifrado de archivos afectados.

  • Seleccionar ransomware: identifica y selecciona el tipo específico que ha infectado los archivos. 
Pantalla para seleccionar la familia de ransomware

- Pantalla para seleccionar la familia de ransomware. Fuente. -

  • Ubicación de archivos: especifica la ubicación de los archivos cifrados que se desean descifrar. 

    Pantalla para seleccionar los ficheros infectados

    - Pantalla para seleccionar los ficheros infectados. Fuente. -

  • Inicio del descifrado: inicia el proceso de descifrado siguiendo las instrucciones en pantalla. Al descifrar archivos afectados por CyptXXX V1, XORIST, XORBAT, NEMUCOD, o TeleCrypt, se abrirá otro diálogo en el cual se solicitarán un par de archivos: un archivo infectado y su correspondiente archivo no infectado, en caso de que exista una copia de respaldo disponible. Es preferible proporcionar archivos de mayor tamaño, ya que esto facilitará el proceso de descifrado.

    Pantalla mostrando la ejecución del descifrado

    - Pantalla mostrando la ejecución del descifrado. Fuente. -

  • Finalización del descifrado: una vez completado el proceso de descifrado, la interfaz mostrará los resultados y permitirá acceder a los archivos descifrados, los cuales estarán en la misma carpeta que los originales, pero con modificaciones en las extensiones para indicar que han sido descifrados. El nombre del archivo descifrado será {nombre de archivo original} decrypted.{extensión}. Para descifrar más archivos, simplemente se repiten los pasos desde la interfaz principal del programa.

Consideraciones adicionales y limitaciones

En la desinfección de algunas familias, se plantean algunas consideraciones específicas:

  • CryptXXX V3 solo permite un descifrado parcial de datos, y podría necesitar herramientas de terceros para la recuperación completa de ciertos archivos, como las imágenes. 
  • BadBlock, por su parte, cifra archivos esenciales del sistema, pudiendo generar inconvenientes al reiniciar el sistema, y su tratamiento puede variar dependiendo de cómo haya afectado al sistema. 
  • CERBER necesita ejecutarse en la máquina infectada y su proceso de descifrado puede ser largo y de éxito variable, influenciado por la capacidad del procesador. 
  • Globe/Purge utiliza métodos de fuerza bruta para descifrar, y su proceso puede ser extremadamente largo, además, presenta limitaciones en sistemas FAT32. 
  • WannaCry busca la clave privada en la memoria del proceso del ransomware, por lo que solo es efectivo si el proceso sigue activo, siendo más efectivo en sistemas Windows XP. 
  • Petya cuenta con una interfaz especial y requiere de pasos específicos para el reinicio del sistema operativo a su estado normal. Cada uno de estas familias de malware requiere un enfoque distinto, ajustado a sus características y limitaciones propias.

Conclusiones

El desarrollo de herramientas de descifrado es crucial para permitir a los usuarios afectados por ransomware recuperar sus datos sin tener que acceder a las demandas de los ciberdelincuentes. Esto no solo ayuda a mitigar el impacto del ataque en el individuo o la organización afectada, sino que también reduce la rentabilidad del ransomware para los criminales, al disminuir la cantidad de víctimas dispuestas a pagar un rescate.

Estas herramientas, son parte de una estrategia más amplia que también incluye la educación y la concienciación sobre ciberseguridad, la promoción de buenas prácticas de seguridad, como la actualización regular de software y sistemas operativos, y el respaldo regular de datos importantes, todo lo cual es crucial para la prevención y mitigación de estos ataques. La disponibilidad de estas herramientas y recursos es vital, dado que los actores maliciosos continuamente están innovando y desarrollando nuevas variantes de ransomware, más sofisticadas y dañinas.

Etiquetas