Los operadores de ProLock Ransomware envían descifradores defectuosos a las víctimas que pagan el rescate
Como la mayoría de ustedes probablemente saben, no todo el ransomware se crea de la misma manera. Algunas familias son creadas por piratas informáticos jóvenes e inexpertos que toman prestada la mayor parte de su código de repositorios abiertos. A menudo, cometen errores durante la implementación de los componentes individuales y terminan con muestras de ransomware que no representan una gran amenaza. Por el contrario, otras familias de malware de cifrado de archivos están diseñadas y construidas por equipos sofisticados de piratas informáticos que tienen una cantidad casi ilimitada de recursos.
ProLock es un nombre relativamente nuevo en la escena del ransomware. Ha estado acaparando algunos titulares durante los últimos meses, y será interesante ver si es una de las amenazas más sofisticadas o si ha sido creada por un grupo de aficionados.
Table of Contents
ProLock: una grave amenaza para las organizaciones de todas las formas y tamaños
Los investigadores de Sophos recientemente decidieron echar un vistazo más de cerca a ProLock después de que uno de sus clientes fue golpeado por él. Inmediatamente se hizo evidente que no es el trabajo de los llamados kiddies script.
En el caso del ataque que Sophos investigó, el punto de entrada inicial fue un servidor RDP mal configurado que los hackers explotaron. Después de comprometer a la víctima, reunieron más información sobre la red en la que se encontraban y luego usaron una lista de credenciales robadas para moverse por ella. La operación real del ransomware comienza con la colocación de cuatro archivos en la carpeta% ProgramData% del host.
Hay una imagen BMP, un archivo XML y un par de archivos por lotes. El primer archivo por lotes configura una tarea programada utilizando los parámetros establecidos en el documento XML. La tarea programada ejecuta el segundo archivo por lotes, que, a su vez, extrae la carga útil del ransomware que está codificada en la imagen BMP mediante esteganografía.
Antes de cifrar los datos, ProLock finaliza ciertos procesos para garantizar que se abran menos archivos durante la etapa de cifrado. Cuando termina de codificar la información, ProLock suelta una nota de rescate completa con una identificación de usuario y un enlace a un sitio web alojado en Tor donde las víctimas pueden obtener más información sobre las demandas de los piratas informáticos.
Hasta ahora, todo se ve muy profesionalmente hecho y avanzado. Sin embargo, cuando los investigadores observaron algunas muestras, vieron que, aunque algunas partes del código se adaptaron a las víctimas individuales, las ID de usuario estaban codificadas y no eran únicas. Esto fue extraño. Sin embargo, lo que era extraño era la forma en que ProLock cifra los archivos.
Los descifradores de ProLock no funcionan
ProLock no cifra archivos de menos de 8 KB. Para los que son más grandes, comienza el proceso de cifrado con el noveno kilobyte. Como resultado, si abre un archivo que el ransomware ya ha cifrado, verá que las primeras partes permanecen en forma legible.
Los investigadores de Sophos piensan que esta es la razón por la cual los descifradores de ProLock no funcionan. Ha habido informes de programas de descifrado defectuosos proporcionados por los operadores de ProLock desde hace un tiempo, pero esta es la primera vez que vemos una explicación técnica del problema. El informe de Sophos sugiere que los especialistas en seguridad podrían ser capaces de recuperar los datos después de modificar el descifrador defectuoso, pero señalan que no será barato.
Es una prueba más de por qué nunca debes hacer negocios con ciberdelincuentes. Pero ahora que todos sabemos dónde radica el problema, ¿qué posibilidades hay de que los operadores de ProLock lo solucionen?
¿La pandilla ProLock arreglará sus descifradores?
De ahora en adelante, las posibles víctimas que podrían molestarse en hacer una simple búsqueda en Google sabrán que incluso si pagan el rescate, es posible que no recuperen sus datos. Es menos probable que cooperen, y podría pensar que esto podría hacer que los operadores de ransomware actualicen su mecanismo de cifrado y solucionen el problema. La cuestión es que si el descifrador funciona o no podría hacer poca diferencia para ellos.
Debido a que las empresas ahora mantienen copias de seguridad de sus datos, pagar el rescate ya no es la única forma de recuperarlo en caso de un ataque de ransomware. El año pasado, las pandillas cibercriminales que atacaban a organizaciones se dieron cuenta de que necesitaban un segundo punto de extorsión, y comenzaron a robar información antes de encriptarla. De esa manera, cuando una víctima se niega a pagar por un descifrador, los delincuentes pueden amenazar con filtrar toneladas de datos confidenciales. Muchos equipos de ransomware lo han hecho, y ahora estamos empezando a ver que funciona.
El informe de Sophos dice que la pandilla ProLock aún no ha adoptado la estrategia, pero señaló que pueden hacerlo en cualquier momento. Las organizaciones que podrían ser objetivo de este ransomware en particular deben ser conscientes de la amenaza y deben tomar las precauciones necesarias para fortalecer sus redes.
