Los ciberdelincuentes no se detienen y siguen creando nuevas y sofisticadas armas para cometer ciberdelitos. INCIBE informa de la existencia de la primera muestra del ransomware Ragnarok, también conocido como Asnarok. Los informes de amenazas sobre este malware surgieron por primera vez el 1 de enero de 2020, aunque ahora se ha descubierto que su actividad se remonta a finales de 2019.
Ragnarok ha sido uno de los ransomware más peligrosos y lucrativos en los últimos años. Sus operadores seguían un modelo de negocio bien estructurado, apuntando a grandes entidades con el objetivo de maximizar la probabilidad de recibir pagos. Utilizaban la doble extorsión como táctica, amenazando con borrar y divulgar los datos comprometidos a menos que se realizara un pago.
Sin embargo, en agosto de 2021, las actividades de los operadores de Ragnarok cesaron de repente. Sorprendentemente, liberaron sus claves privadas junto con instrucciones para descifrar los datos comprometidos. Aunque los motivos detrás de esta acción aún no se conocen, algunos expertos especulan que podría ser una estrategia para evitar la atención de las fuerzas del orden o apuntar a regiones más propensas a pagar rescates.
El ransomware Ragnarok utilizaba una serie de características y técnicas para evadir la detección y recuperarse de los sistemas afectados. Entre ellas se incluyen:
- La eliminación de archivos iniciales del malware y su funcionamiento en la memoria para evitar la detección.
- La desactivación de Windows Defender y el cortafuegos de Windows para evitar la detección y el bloqueo de conexiones de red.
- La eliminación de las shadow copies, que son instantáneas de backup tomadas por Windows, para evitar la restauración del sistema a un estado previo a la infección.
- La desactivación de los modos de recuperación y a prueba de fallos para evitar que el sistema pueda iniciarse en estos modos.
El proceso de cifrado del ransomware Ragnarok también era altamente sofisticado. Utilizaba un método de autoinyección para desempaquetar una librería DLL llamada cry_demo.dll, que contenía el código y la lógica necesarios para ejecutar el cifrado de los archivos de las víctimas. El ransomware cifraba los archivos seleccionados mediante el algoritmo AES 256 con una clave simétrica generada aleatoriamente. Luego, cifraba esta clave simétrica utilizando el algoritmo RSA 4096 y la clave pública correspondiente, lo que dificultaba aún más el proceso de descifrado.
En cuanto a la propagación e infección, Ragnarok aprovechaba dos vectores de ataque principales. El primero era el path traversal en Citrix ADC (CVE-2019-19781), que permitía la ejecución de código arbitrario en el host. El segundo vector era la inyección de SQL en Firewall Sophos (CVE-2020-12271), que descargaba y ejecutaba archivos maliciosos para propagar la amenaza a través de la red.
Para prevenir los ataques de Ragnarok y otras amenazas similares, es fundamental mantener los sistemas actualizados con los parches de seguridad más recientes y realizar copias de seguridad regularmente. La concienciación en ciberseguridad y la adopción de buenas prácticas son clave para protegerse contra estas amenazas en constante evolución.
Si bien la liberación de las claves privadas de Ragnarok y las herramientas de descifrado ofrecen cierta esperanza a las víctimas, es importante recordar que la prevención sigue siendo la mejor defensa contra el ransomware. La historia de Ragnarok es un recordatorio contundente de cómo las amenazas cibernéticas pueden surgir, evolucionar y eventualmente desvanecerse, solo para dar paso a nuevas amenazas.