Ransomware clonado: otra amenaza en el panorama digital
El ransomware se ha convertido en una herramienta notoria en manos de los cibercriminales, que bloquea datos valiosos y exige un pago por su liberación. Entre estas amenazas, Clone Ransomware ha ganado atención por su afiliación con la familia de ransomware Dharma y sus capacidades disruptivas.
Table of Contents
¿Qué es el ransomware clonado?
Clone Ransomware es un programa malicioso que pertenece a la familia de ransomware Dharma. Cifra archivos para que no se pueda acceder a ellos sin una clave de descifrado y ataca tanto archivos locales como compartidos en red.
Este ransomware es particularmente preocupante porque modifica los nombres de los archivos para incluir un identificador único de la víctima, la dirección de correo electrónico de un atacante y una extensión ".Clone". Por ejemplo, un archivo llamado "document.pdf" podría aparecer como "document.pdf.id-[UniqueID].[CloneDrive@mailum.com].Clone" después del cifrado. Las víctimas también encuentran notas de rescate en archivos de texto etiquetados como "clone_info.txt" y ventanas emergentes que detallan el ataque y les indican que se comuniquen con los delincuentes por correo electrónico para descifrarlos.
Esto es lo que dice la nota de rescate:
CLONE
YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
If you want to restore them, write to the mail: CloneDrive@mailum.com YOUR ID -
If you have not answered by mail within 24 hours, write to us by another mail:CloneDrive@tuta.io
ATTENTION
CloneDrive does not recommend contacting agent to help decode the data
Objetivo del ransomware: control y coerción
Al igual que otros ransomware de su categoría, el objetivo principal de Clone Ransomware es obtener ganancias económicas. Los cibercriminales intentan extorsionar a las víctimas tomando como rehenes sus datos, a menudo atacando archivos críticos para operaciones personales o comerciales. Si bien las notas de rescate prometen descifrado tras el pago, cumplir con estas demandas es una apuesta arriesgada. Los atacantes pueden negarse a proporcionar herramientas de descifrado incluso después de recibir el pago, dejando a las víctimas sin sus archivos y su dinero.
Además, Clone Ransomware evita cifrar archivos esenciales del sistema, lo que permite que el dispositivo infectado siga funcionando. Esta táctica garantiza que las víctimas puedan acceder a la nota de rescate y comunicarse con los atacantes.
Cómo funciona el ransomware clonado
Clone Ransomware emplea varias técnicas sofisticadas para maximizar su impacto. Para garantizar su persistencia, el malware se replica en un directorio específico del sistema y se registra en la configuración de inicio, lo que le permite ejecutarse automáticamente después de cada reinicio. Además, finaliza los procesos asociados con archivos abiertos, como bases de datos o lectores de archivos, para evitar errores de cifrado.
Este programa también elimina las instantáneas de volumen, una función que se utiliza a menudo para recuperar datos, lo que complica aún más los esfuerzos de las víctimas por recuperar el acceso a sus archivos sin pagar el rescate. Sus métodos de cifrado son robustos, por lo que dejan pocas vías de recuperación sin la intervención de los atacantes.
Cómo el ransomware clonado encuentra a sus víctimas
Al igual que muchos programas ransomware, Clone se propaga normalmente a través de sistemas vulnerables, en particular aquellos con servicios de Protocolo de escritorio remoto (RDP) mal administrados. Los ataques de fuerza bruta y de diccionario son métodos comunes de infiltración en los sistemas. Además de las vulnerabilidades de RDP, Clone puede propagarse a través de correos electrónicos de phishing, archivos adjuntos maliciosos y descargas de software comprometidas.
Los archivos maliciosos suelen estar camuflados como documentos, aplicaciones o actualizaciones legítimas, lo que engaña a los usuarios para que ejecuten el ransomware sin darse cuenta. Esto pone de relieve la importancia de estar alerta al manipular archivos adjuntos en correos electrónicos, descargar software o navegar por sitios web desconocidos.
Implicaciones de los ataques de ransomware clonado
El impacto de Clone Ransomware va más allá de las pérdidas financieras. Las víctimas, ya sean individuos u organizaciones, enfrentan importantes interrupciones en sus vidas personales o en sus operaciones comerciales. Si no pueden acceder a datos críticos, esto puede detener la productividad, agotar los recursos y dañar la reputación.
Para las organizaciones, los incidentes de ransomware también pueden generar complicaciones legales y regulatorias, en particular si se ven comprometidos datos confidenciales de clientes o empleados. Además, pagar el rescate perpetúa el ciclo de ciberdelincuencia al financiar las operaciones de los atacantes y alentar futuros ataques.
Mitigación de la amenaza del ransomware clonado
La protección contra ransomware como Clone requiere un enfoque proactivo en materia de ciberseguridad. Una gestión sólida de credenciales y el uso de contraseñas complejas y únicas son fundamentales, en particular para los sistemas a los que se puede acceder a través de RDP. Además, la implementación de la autenticación multifactor agrega otra capa de seguridad de defensa contra el acceso no autorizado.
Los usuarios deben tener cuidado al navegar por Internet y manejar correos electrónicos, ya que los esquemas de phishing son un punto de entrada común para el ransomware. Evite abrir archivos adjuntos de correo electrónico sospechosos o hacer clic en enlaces no verificados, y descargue software solo de fuentes confiables.
El papel de las copias de seguridad y las actualizaciones de datos
Las copias de seguridad periódicas de los datos son fundamentales para minimizar el impacto de un ataque de ransomware. El almacenamiento de las copias de seguridad en varias ubicaciones seguras, como unidades externas o servicios en la nube, garantiza que los datos se puedan restaurar sin depender de los atacantes. Las copias de seguridad deben realizarse de forma sistemática y almacenarse sin conexión para evitar el cifrado.
Igualmente importante es mantener actualizado todo el software, incluidos los sistemas operativos y las herramientas de seguridad. Las actualizaciones suelen reparar las vulnerabilidades que explotan los programas ransomware, lo que reduce el riesgo de infección.
Un esfuerzo colaborativo contra el ransomware
El ransomware clonado, al igual que otros de la familia Dharma, es un claro recordatorio de las tácticas cambiantes de los cibercriminales. Si bien el ransomware plantea desafíos importantes, comprender su mecanismo y tomar medidas preventivas puede reducir la probabilidad de ser víctima.
La ciberseguridad es una responsabilidad compartida entre todos los tipos de usuarios. Al priorizar la seguridad, estar alerta y mantenerse informados sobre las amenazas emergentes, los usuarios pueden fortalecer su defensa contra los ataques de ransomware y proteger sus valiosos datos para que no se conviertan en moneda de cambio para los delincuentes.
