Europol desarrolla herramienta para desencriptar ransomware GandCrab

La Oficina Europea de Policía (Europol), junto la empresa de seguridad Bitdefender y la policía rumana, desarrollaron una nueva herramienta que desencripta el ransonware GandCrab.

La herramienta fue anunciada este 25 de octubre y está disponible gratuitamente en el sitio web www.nomoreransom.org, de acuerdo a la información publicada en sitio web de la Europol. Allí se explica que se trata de un kit de recuperación de datos, en cuyo desarrollo también colaboraron las policías de Bulgaria, Francia, Hungría, Italia, Polonia, Países Bajos, Reino Unido y Estados Unidos.

Al respecto, la Europol agrega que la nueva herramienta de descifrado es la más completa disponible hasta el momento para esta familia de ransomware y funciona contra todas las versiones, independientemente de la ubicación de la víctima.  GandCrab es un tipo de malware muy agresivo que ha venido proliferando desde enero pasado, causando la infección de los equipos de casi medio millón de personas, según los cálculos de la Europol.

La compañía rumana Bitdefender añade que solo en el último mes  el virus malicioso ha cobrado unas 50.000 víctimas, cifrando la información guardada en sus computadoras mediante la sustitución de la extensiones de los archivos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, fotos, música, video, e imágenes.

Según datos de la empresa de seguridad ESET, Latinoamérica es una de las regiones del mundo donde más se ha propagado GandCrab, con 5 países de la región ubicados entre los 10 primeros con la  mayor cantidad de detecciones: Perú (45,2%), México (38%), Ecuador (17,2%), Colombia (9,9%) y Brasil (8,7%).

El malware se propaga principalmente a través de archivos para modificar software legal (cracks de software piratas). También se utilizan anuncios maliciosos que conducen a páginas con el kit exploit Rig, o se envían mensajes de correo electrónico que simulan proceder de otros remitentes.

Un malware lucrativo

Luego de encriptar los archivos de la víctima, GandCrab exige un rescate que oscila entre los 250 a 400 euros, o entre 300 a 6.000 dólares. Los ciberdelincuentes piden que el pago que sea cancelado en dash o bitcoin. Sobre ello, Catalin Cosoi, director senior de investigación y análisis forense de Bitdefender, señaló que GandCrab se ha convertido en una buena fuente de ingresos para los ciberdelincuentes.

El ransomware se ha convertido en una fuente de ingresos de miles de millones de dólares para los autores de malware y GandCrab es uno de los mejores postores (…) En un futuro próximo, creemos que los desarrolladores de ransomware se orientarán hacia la extracción y el robo de criptomonedas.

Catalin Cosoi
Director senior de investigación y análisis forense

De acuerdo a las informaciones de la Europol, la rápida propagación también se debe a un esquema de funcionamiento  que ofrece, a través de la web oscura, una serie de herramientas para ciberdelincuentes inexpertos. Es un kit que facilita el lanzamiento de ataques de malware rápidos y fáciles, con un cargo de 30% por el pago recibido.  El esquema se hace más lucrativo en la medida en que se trabaja en equipo, pues los desarrolladores de GandCrab se asocian con otros servicios en la cadena de suministro de delitos informáticos.

Desarrollan varias herramientas

Las guías para desencriptar GandCrab, creadas por las policías europeas, se pueden descargar en el sitio web “No más pagos de rescate” (No more ransom), el cual fue lanzado en 2016 y es administrado por la Europol. Ofrece las llaves para descifrar varios tipos de virus maliciosos, junto a una serie de recomendaciones y consejos de ciberseguridad que buscan prevenir este tipo de ataques. También pueden ser descargadas de la sección de herramientas de descifrado de ransomware del sitio labs.bitdefender.com.

Hasta ahora, los creadores de GandCrab han desarrollado unas 5 versiones diferentes en lo que va de 2018, mientras las autoridades y compañías de seguridad generan nuevos descifradores. La Europol acota que, junto a la policía rumana y Bitdefender, pusieron a disposición del público la primera herramienta en febrero pasado. Pero los creadores del ransomware han seguido actualizando las versiones, a fin de contrarrestar el trabajo de las autoridades.

Ante el auge y la sofisticación que vienen tomando las estrategias de malware, las empresas de seguridad informática recomiendan, como principal medida de seguridad, ser cuidadosos al abrir archivos y mensajes recibidos por correo electrónico, y –en caso de ser atacado con ransomware– no hacer el pago del rescate solicitado.

Imagen destacada de kirill_makarov / stock.adobe.com