Por qué las organizaciones no deberían ceder automáticamente a las demandas de ransomware


Un incidente de ransomware analizado por IBM X-Pressure muestra que el atacante no habría podido descifrar los datos, incluso si el rescate hubiera sido pagado.

Las organizaciones afectadas por ataques de ransomware generalmente tienen que tomar una decisión difícil. ¿Pagan el rescate o no? Si tienen copias de seguridad recientes y restaurables de los archivos retenidos como rehenes, entonces esa pregunta suele ser discutible. Pero, si no tienen otra forma de restaurar los archivos descifrados, y los datos son valiosos o confidenciales, es posible que no tengan más remedio que acceder a las demandas financieras del atacante.

Sin embargo, hay desventajas claras para pagar el rescate. Más allá de alentar a los delincuentes a continuar desplegando ataques de ransomware, no hay garantía de que los archivos sean descifrados y restaurados al propietario. Un reciente ataque de ransomware mitigado y analizado por el grupo de inteligencia de amenazas de IBM, IBM X-Force, muestra cómo pagar el rescate no es necesariamente la opción correcta.

VER: Ransomware: lo que los profesionales de TI necesitan saber (PDF gratuito) (TechRepublic)

En una publicación de weblog del jueves titulada «X-Power IRIS supera el mecanismo de descifrado roto en Jest Ransomware, «IBM X-Power describió cómo ayudó a un cliente a lidiar con una variedad de ransomware conocida como Broma. Durante su investigación sobre el ataque, X-Power encontró evidencia de que el atacante nunca tuvo la intención de descifrar los archivos y que esta variedad particular de ransomware puede no haber sido diseñada para permitir el descifrado de archivos, incluso después de que se pagó el rescate.

Contactado para ayudar a la organización a recuperarse de este ataque de ransomware Jest, X-Force encontró varios servidores que pertenecen a la víctima. Todos los archivos cifrados en los servidores se agregaron con una extensión .jest. Cada servidor también mostró una nota de rescate pidiendo que se enviara un pago de .3 Bitcoin al atacante con una billetera Bitcoin específica incluida. Aunque eso parece una suma baja para una demanda de rescate, X-Force cree que las fallas en el proceso de descifrado podrían haber llevado a las víctimas a volver a enviar los pagos, aumentando así las ganancias generales para el atacante.

Los investigadores de X-Drive descubrieron que el ransomware Jest contiene módulos que le permiten propagarse automáticamente a través de una purple. Después de encriptar los archivos iniciales para ser rehenes, Jest lanza un módulo diseñado para extraer las credenciales de los usuarios. Esta información se pasa a otros sistemas en subredes conectadas.

Después del proceso de cifrado completo, se crea la nota de rescate y se muestra como fondo de pantalla en la computadora infectada. Un enlace en la imagen del fondo de pantalla para ver las Notas de descifrado muestra un archivo de texto con instrucciones sobre cómo pagar el rescate en Bitcoin. También aparece una pantalla de interfaz gráfica con un temporizador que sirve como un tipo de cuenta regresiva para el pago.

ransomware-gui-ibm-x-force.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/05/14/4c22dd54-4570-408e-badf-4ec01f6c2686/resize/770x /f5f0f54c61110e1d5e120ccce03670d7/ransomware-gui-ibm-x-force.jpg

Imagen: IBM X-Pressure

Si no se recibe ningún pago dentro de un período de tiempo determinado, aparece un mensaje que indica que el estado no está pagado y que la víctima debe intentarlo nuevamente pagando. Si se verifica el pago, aparece un mensaje diferente que indica que el estado es Pagado. El mensaje dice que los archivos se están decodificando, pero le pide al usuario que intente nuevamente pagando.

Profundizando en el código detrás del ataque, X-Pressure descubrió múltiples fallas. El código de cifrado escrito en Visual Primary se copia directamente de un recurso en línea. Ciertos errores en este código pueden hacer que los archivos de destino no se cifren, sino que simplemente cambien de nombre con la extensión de archivo .jest.

En cuanto al proceso de descifrado, los investigadores encontraron código de descifrado en el ransomware, pero no descubrieron ninguna ruta que desencadenara su ejecución. Esto significa que la ruta de «Pago exitoso» establecida en el código no conduciría a ningún descifrado. En este punto, los investigadores de X-Pressure dijeron que les preocupaba que el atacante nunca tuviera la intención de descifrar archivos o que el ransomware Jest ni siquiera estaba diseñado para descifrar archivos. Por lo tanto, pagar el rescate habría sido en vano.

Al final, el equipo de X-Pressure pudo realizar ingeniería inversa del malware para descifrar los archivos, mientras que el equipo de respuesta a incidentes IRIS de IBM estaba preparando las restauraciones de archivos de los servidores. Como resultado, el cliente no tuvo que pagar ningún rescate.

«Si este actor de la amenaza fue descuidado, inexperto o pretendía que fuera un ataque destructivo que no permitiera la recuperación, nuestro equipo pudo superar todas las fallas del actor para descifrar los datos de manera segura», dijo X-Power en su entrada en el site. «Este incidente demuestra cómo un pago de rescate puede no garantizar la recuperación de datos cifrados. La exploración de múltiples opciones para resolver un ataque de ransomware debe implementarse como una práctica estándar».

Ver también

ransomware.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2017/12/20/414731cd-e09c-4da8-bbe1-891deafa0496/resize/770x/ec3cb37c5ae2bc36316ff62a6cb7f10f/ransomware.jpg

Imagen: iStockphoto / vchal



Enlace a la noticia first