La consultora que engaña a las víctimas de ransomware y hace de intermediario con los ciberdelincuentes
El ransomware es sin duda una de las mayores pesadillas de empresas y usuarios y la solución no es sencilla. Pagar un rescate no sólo no garantiza recuperar la información, sino que ha alimentado un sector que crece a pasos agigantados. La novedad son las falsas consultoras IT que ayudan a las víctimas de ransomware.
Check Point Research acaba de sacar a la luz el caso de 'Dr. Shifro', una empresa rusa que afirma desbloquear legítimamente archivos cifrados, pero que en realidad lo único que hace es de enlace entre el ciberdelincuente y la víctima, es decir, cobra a la víctima y paga al creador del ransomware, con un margen de beneficio enorme.
Ransomware en cifras
En 2017, el ransomware se convirtió en el centro de atención con WannaCry, NotPetya y Bad Rabbit, y este año también ha seguido siendo una gran amenaza. Con casos como la paralización de Atlanta a principios de este año, que impidió el funcionamiento de los servicios fundamentales de la ciudad. También en el sector de la salud, uno de los más afectados por los ataques de ransomware, ha visto peticiones de rescate que ascienden a 2,8 millones de dólares, aunque el precio medio está en unos 10.000 dólares.
Según la Evaluación de la Amenaza de la Delincuencia Organizada en Internet de 2018 de Europol, la industria del ransomware mueve 5.000 millones de dólares en economía sumergida. De hecho, es en gran medida una herramienta de ataque básica para los ciberdelincuentes de todo el mundo y también ha permitido que surjan industrias subsidiarias a su alrededor como las ofertas de rescate como servicio (Rescue as a Service), una herramienta para que incluso los más inexpertos puedan entrar en la rueda del ransomware. Además, los programas de afiliación han crecido tanto que los creadores del ransomware les piden a sus afiliados una comisión por expandirlo.
¿Cómo responder a un rescate?
Cuando se bloquea el acceso a los archivos y el rescate es un precio muy alto, no es de extrañar que las organizaciones hagan casi cualquier cosa para restaurar su acceso a ellos.
En este punto hay tres opciones posibles:
1) Restaurar todos los archivos bloqueados a través de la copia de seguridad.
2) Pagar el rescate al actor de la amenaza responsable de cifrar esos archivos.
3) Contratar a un consultor de TI que pueda desbloquear los archivos sin pagar el rescate.
Los expertos del equipo de investigación de Check Point encontraron Dr. Shifro", una "consultoría de TI" online que ofrecía un solo servicio, algo sospechoso de inicio: ayudar a las víctimas del ransomware a desbloquear sus archivos.
Además, “Dr. Shifro” promete desbloquear archivos, supuestamente cautivos en el programa de rescate Dharma/Crisis (para el cual no se dispone de clave de descifrado), entre otros.
Después de una investigación encubierta, pronto se desveló que “Dr. Shifro” estaba contactando con el autor del ransomware para desbloquear los archivos de la víctima a cambio del pago del rescate ($1300) más una comisión de otros 1000$, como margen del negocio de “Dr. Shifro”.
Recomendaciones de Check Point
Si bien existen consultorías de TI legítimas que pueden recuperar los sistemas y archivos de un ataque de ransomware, por lo general no hacen promesas que no puedan cumplir. De hecho, sólo dan garantías en servicios que saben que pueden ofrecer, como las claves de descifrado que ya están disponibles públicamente online y se limitarán a realizar estos servicios de descifrado
El modelo de negocio creado es muy atractivo y podría ser replicado con facilidad por otros estafadores por lo que hay que estar alerta.
Check Point aconseja a las empresas que utilicen soluciones de prevención anti-ransomware para evitar sufrir las consecuencias de este tipo de ataques. Por esta razón, es fundamental que la soluciones anti-ransomware no solo trabajen con malware ya detectado, sino que sean capaces de emular y extraer archivos sospechosos en un sandbox y recuperar automáticamente los archivos cifrados.