Agencias / Ciudad de México.- Los ransomware son un tipo de ciberataques cuya popularidad ha ido en aumento en los últimos años. La premisa es sencilla: cuando una computadora se infecta, el ransomware encripta todos sus archivos. Si el usuario quiere desencriptarlos, debe pagar un rescate.
WannaCry o Emotet son dos de ransomware que han cobrado gran relevancia en los últimos años. Cada uno de estos programas maliciosos está operado por auténticas mafias de ciberdelincuentes. Y hay una, en concreto, cuya actividad es imparable: su nombre es STOP Djvu.
Nadie ha oído hablar mucho de STOP Djvu porque su objetivo no son las grandes compañías, sino las computadoras domésticas. Los operadores de STOP Djvu piden una media de 500 dólares para que los usuarios puedan descifrar la información de sus sistemas informáticos, reporta el sitio especializado Bleeping Computer.
El problema es que un usuario doméstico está mucho más expuesto a una ciberamenaza que una organización. Mientras que en las grandes empresas hay expertos en tecnologías de la información que tratarán de mitigar estos ataques, un internauta de a pie podría tratar de resolver el problema por sí mismo. Y empeorarlo todo.
Bleeping Computer reporta que otra mafia que opera ransomware —su nombre es Zorab— está distribuyendo por la red un programa para ayudar a las víctimas de STOP Djvu a desencriptar sus archivos.
¿El problema? Que no es ningún ‘antídoto’. Se trata de otro ransomware que al activarse encriptará sobre lo encriptado, por lo que en este punto los usuarios se verán obligados a pagar dos rescates en lugar de uno.
Falso desencriptador de ransomware encripta doblemente los ficheros de víctimas desesperadas por recuperar sus ficheros -> https://t.co/p75J3wjOS5
— Germán Sánchez (@yeroncio) June 7, 2020
Un ransomware con más actividad que la de los grandes operadores que atacan a empresas
Lawrence Abrams, editor de Bleeping Computer, cuenta que el ransomware STOP Djvu infecta diariamente a más dispositivos que los programas maliciosos Maze, REvil, Netwalker o DoppelPaymer. Por lo que, de partida, el número de potenciales víctimas de Zorab es infinitamente mayor.
Zorab encripta todos los ficheros —que ya estaban previamente encriptados por STOP Djvu— bajo la extensión .ZRB. Bleeping Computer apunta que se trata de un nuevo tipo de ransomware. En la nota de rescate que dejan los operadores del programa se advierte, irónicamente, que sus víctimas no deben tratar de descifrar los ficheros con herramientas de terceros.
Pero los expertos recuerdan insistentemente que bajo ningún concepto hay que pagar el rescate de estas mafias.
Pagar no es garantía de nada. Cuando pagas a una mafia que opera un ransomware, esta se compromete a enviar por correo un programa que será capaz de desencriptar los ficheros afectados. El problema es, como ya avanzaron varios medios el pasado mes de diciembre, cómo muchos de estos antídotos están plagados de bugs.
Fue el caso de Ryuk, precisamente el ransomware de la familia Emotet que afectó a finales del año pasado a la consultora Everis y a grupo PRISA, en España. El antivirus que distribuyeron los hackers estaba repleto de bugs, que en muchos casos ocasionó la pérdida de información.
Herramienta para decifrar archivos afectados por el ransomware Djvu, en vez de solucionar, encripta dos veces los archivos de las víctimas desesperadas (Inglés) https://t.co/AfG6WjTbrp – Tengan cuidado con lo que bajan de internet para "solucionar" problemas. pic.twitter.com/XrwQegS3yX
— Andrés Velázquez (@cibercrimen) June 12, 2020
Nueva vuelta de tuerca al modus operandi del ransomware
Este modus operandi, el de atacar sobre víctimas ya atacadas, es una nueva vuelta de tuerca en el mundo del ransomware.
A finales del año pasado varios expertos advertían a Business Insider España de que la tendencia remarcaba cómo muchas de estas mafias elevarían el nivel de amenaza y extorsión sobre sus víctimas.
Es el caso EDP, la empresa eléctrica portuguesa, para la que sus ciberatacantes exigieron el pago de un rescate de hasta 10 millones de euros bajo la amenaza de que, de lo contrario, comenzarían a liberar información sensible robada durante el ataque.
Los ciberdelincuentes cumplieron su particular promesa, y al cabo de días comenzaron a liberar ficheros relacionados con clientes y trabajadores de la compañía.
Por si fuera poco, Bleeping Computer informaba también días atrás de cómo los principales operadores de ransomware se están aliando para formar un «cártel» de extorsión: los ciberdelincuentes del ransomware LockBit ahora también colgarán los archivos robados de todas las víctimas que no paguen sus rescates en la web de otra mafia, Maze.
Un falso programa de descifrado de ransomware hace un doble cifrado a los archivos de las víctimas desesperadas. https://t.co/NscXfl1B8J
— David Pereira (@davidpereiracib) June 9, 2020