Una peligrosa mafia de 'ransomware' se está ensañando con usuarios particulares: libera un 'antídoto' que en realidad es un programa que encripta de nuevo todos los archivos
- Un ransomware llamado STOP Djvu tiene más actividad que los programas de ciberataque más conocidos. El motivo es que sus víctimas son usuarios particulares.
- Una mafia de ciberdelincuentes se ha aprovechado de la potencial base de víctimas de este ransomware para distribuir una suerte de antídoto por la red.
- El problema es que este antídoto que promete descifrar los archivos infectados es en realidad un segundo ataque que encripta lo ya encriptado para pedir un nuevo rescate.
- Así están sofisticando sus ataques las mafias que operan los ransomware cuya popularidad sigue en aumento.
- Descubre más historias en Business Insider España.
Los ransomware son un tipo de ciberataques cuya popularidad ha ido en aumento en los últimos años. La premisa es sencilla: cuando un ordenador se ve infectado, el ransomware comienza a encriptar todos los archivos del dispositivo. Si el usuario quiere desencriptarlos, tendrá que pagar un rescate.
WannaCry o Emotet han sido los nombres de famosos ransomware que han afectado a compañías españolas estos años. Cada uno de estos programas maliciosos está operado por auténticas mafias de ciberdelincuentes. Y hay una, en concreto, cuya actividad es imparable: su nombre es STOP Djvu.
Nadie ha oído hablar mucho de STOP Djvu porque su objetivo no son las grandes compañías, sino los ordenadores domésticos. Los operadores de Maze, uno de los ransomware más conocidos de este 2020, pidieron 10 millones de euros a la compañía eléctrica portuguesa EDP. Los operadores de STOP Djvu piden una media de 500 dólares para que los usuarios puedan descifrar la información de sus sistemas informáticos, según cuenta Bleeping Computer.
El problema es que un usuario doméstico está mucho más expuesto a una ciberamenaza que una organización. Mientras que en las grandes empresas hay expertos en tecnologías de la información que tratarán de mitigar estos ataques, un internauta de a pie podría tratar de resolver el problema por sí mismo. Y empeorarlo todo.
El editor de Bleeping Computer, un portal especializado en ciberseguridad, cuenta en este artículo cómo otra mafia que opera otro ransomware —su nombre es Zorab— está distribuyendo por la red un programa para ayudar a las víctimas de STOP Djvu a desencriptar sus archivos.
¿El problema? Que no es ningún 'antídoto'. Se trata de otro ransomware que al activarse encriptará sobre lo encriptado, por lo que en este punto los usuarios se verán obligados a pagar dos rescates en lugar de uno.
Un ransomware con más actividad que la de los grandes operadores que atacan a empresas
Lawrence Abrams, editor de Bleeping Computer, cuenta que el ransomware STOP Djvu infecta diariamente a más dispositivos que los ransomwareMaze, REvil, Netwalker o DoppelPaymer. Por lo que, de partida, el número de potenciales víctimas de Zorab es infinitamente mayor.
Zorab encripta todos los ficheros —que ya estaban previamente encriptados por STOP Djvu— bajo la extensión .ZRB. Bleeping Computer apunta que se trata de un nuevo tipo de ransomware. En la nota de rescate que dejan los operadores del programa se advierte, irónicamente, que sus víctimas no deben tratar de descifrar los ficheros con herramientas de terceros.
Pero los expertos recuerdan insistentemente que bajo ningún concepto hay que pagar el rescate de estas mafias.
Pagar no es garantía de nada. Cuando pagas a una mafia que opera un ransomware, esta se compromete a enviar por correo un programa que será capaz de desencriptar los ficheros afectados. El problema es, como ya avanzaron varios medios el pasado mes de diciembre, cómo muchos de estos antídotos están plagados de bugs.
Fue el caso de Ryuk, precisamente el ransomware de la familia Emotet que afectó a finales del año pasado a la consultora Everis y a la Cadena Ser, del grupo PRISA. El 'antídoto' que estában distribuyendo los hackers estaba repleto de bugs, que en muchos casos ocasionaron la pérdida de información.
Nueva vuelta de tuerca al modus operandi del ransomware
Este modus operandi, el de atacar sobre víctimas ya atacadas, es una nueva vuelta de tuerca en el mundo del ransomware. Ya a finales del año pasado varios expertos advertían a Business Insider España de que la tendencia remarcaba cómo muchas de estas mafias elevarían el nivel de amenaza y extorsión sobre sus víctimas.
Es el caso de EDP, la empresa eléctrica portuguesa —con presencia sobre todo en el norte de España—, para la que sus ciberatacantes exigieron el pago de un rescate de hasta 10 millones de euros bajo la amenaza de que, de lo contrario, comenzarían a liberar información sensible robada durante el ataque.
Los ciberdelincuentes cumplieron su particular promesa, y al cabo de días comenzaron a liberar ficheros relacionados con clientes y trabajadores de la compañía.
Por si fuera poco, Bleeping Computer informaba también días atrás de cómo los principales operadores de ransomware se están aliando para formar un "cártel" de extorsión: los ciberdelincuentes del ransomware LockBit ahora también colgarán los archivos robados de todas las víctimas que no paguen sus rescates en la web de otra mafia, Maze.
Otros artículos interesantes:
Descubre más sobre Alberto R. Aguiar, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.