Dr Shifro, la “consultora” que engaña a las víctimas de ransomware y hace de intermediario con los ciberdelincuentes

14 diciembre, 2018
21 Compartido 1,557 Visualizaciones

El ransomware es sin duda una de las mayores pesadillas de empresas y usuarios y la solución no es sencilla.

Pagar un rescate no sólo no garantiza recuperar la información, sino que ha alimentado un sector que crece a pasos agigantados. La novedad son las falsas “consultoras IT” que ayudan a las víctimas de ransomware. Check Point Research acaba de sacar a la luz el caso de ‘Dr. Shifro’, una empresa rusa que afirma desbloquear legítimamente archivos cifrados, pero que en realidad lo único que hace es de enlace entre el ciberdelincuente y la víctima, es decir, cobra a la víctima y paga al creador del ransomware, con un margen de beneficio enorme.

Ransomware en cifras

En 2017, el ransomware se convirtió en el centro de atención con WannaCry, NotPetya y Bad Rabbit, y este año también ha seguido siendo una gran amenaza. Con casos como la paralización de Atlanta a principios de este año, que impidió el funcionamiento de los servicios fundamentales de la ciudad. También en el sector de la salud, uno de los más afectados por los ataques de ransomware, ha visto peticiones de rescate que ascienden a 2,8 millones de dólares, aunque el precio medio está en unos 10.000 dólares.

Según la Evaluación de la Amenaza de la Delincuencia Organizada en Internet de 2018 de Europol, la industria del ransomware mueve 5.000 millones de dólares en economía sumergida. De hecho, es en gran medida una herramienta de ataque básica para los ciberdelincuentes de todo el mundo y también ha permitido que surjan industrias subsidiarias a su alrededor como las ofertas de rescate como servicio (Rescue as a Service), una herramienta para que incluso los más inexpertos puedan entrar en la rueda del ransomware. Además, los programas de afiliación han crecido tanto que los creadores del ransomware les piden a sus afiliados una comisión por expandirlo.

¿Cómo responder a un rescate?

Cuando se bloquea el acceso a los archivos y el rescate es un precio muy alto, no es de extrañar que las organizaciones hagan casi cualquier cosa para restaurar su acceso a ellos.

En este punto hay tres opciones posibles:

1) Restaurar todos los archivos bloqueados a través de la copia de seguridad.

2) Pagar el rescate al actor de la amenaza responsable de cifrar esos archivos.

3) Contratar a un consultor de TI que pueda desbloquear los archivos sin pagar el rescate.

Los expertos del equipo de investigación de Check Point encontraron Dr. Shifro», una «consultoría de TI» online que ofrecía un solo servicio, algo sospechoso de inicio: ayudar a las víctimas del ransomware a desbloquear sus archivos.

Además, “Dr. Shifro” promete desbloquear archivos, supuestamente cautivos en el programa de rescate Dharma/Crisis (para el cual no se dispone de clave de descifrado), entre otros.

Después de una investigación encubierta, pronto se desveló que “Dr. Shifro” estaba contactando con el autor del ransomware para desbloquear los archivos de la víctima a cambio del pago del rescate ($1300) más una comisión de otros 1000$, como margen del negocio de “Dr. Shifro”.

Recomendaciones de Check Point

Si bien existen consultorías de TI legítimas que pueden recuperar los sistemas y archivos de un ataque de ransomware, por lo general no hacen promesas que no puedan cumplir. De hecho, sólo dan garantías en servicios que saben que pueden ofrecer, como las claves de descifrado que ya están disponibles públicamente online y se limitarán a realizar estos servicios de descifrado

El modelo de negocio creado es muy atractivo y podría ser replicado con facilidad por otros estafadores por lo que hay que estar alerta.

Check Point aconseja a las empresas que utilicen soluciones de prevención anti-ransomware para evitar sufrir las consecuencias de este tipo de ataques.  Por esta razón, es fundamental que la soluciones anti-ransomware no solo trabajen con malware ya detectado, sino que sean capaces de emular y extraer archivos sospechosos en un sandbox y recuperar automáticamente los archivos cifrados.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

El Gobierno lanza una consulta para identificar propuestas de fortalecimiento de las capacidades de ciberseguridad de las pymes y el impulso a la industria del sector, en el marco del Plan de Recuperación
Actualidad
6 compartido1,715 visualizaciones
Actualidad
6 compartido1,715 visualizaciones

El Gobierno lanza una consulta para identificar propuestas de fortalecimiento de las capacidades de ciberseguridad de las pymes y el impulso a la industria del sector, en el marco del Plan de Recuperación

Alicia Burrueco - 14 abril, 2021

El Ministerio de Asuntos Económicos y Transformación Digital ha lanzado una consulta en el marco del Plan de Recuperación, Transformación…

Ciberdelincuentes norcoreanos atacan a investigadores de vulnerabilidades de seguridad
Actualidad
6 compartido1,492 visualizaciones
Actualidad
6 compartido1,492 visualizaciones

Ciberdelincuentes norcoreanos atacan a investigadores de vulnerabilidades de seguridad

Alicia Burrueco - 2 febrero, 2021

Un grupo de ciberdelincuentes, respaldados por el gobierno de Corea del Norte, se hicieron pasar por blogueros de seguridad informática…

Quiz: Destruye todos los virus
Quiz
9 compartido1,432 visualizaciones
Quiz
9 compartido1,432 visualizaciones

Quiz: Destruye todos los virus

Aina Pou Rodríguez - 20 abril, 2020

Los antivirus son parte esencial de nuestros ordenadores, es hora de comprobar cuanto sabes sobre ellos. Revive tu infancia jugando…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.