Gestión del fraude y delitos cibernéticos, Los investigadores de ransomware hicieron circular de forma privada un descifrador de DoNex antes de que la policía hiciera público el suyoMathew J. Schwartz(euroinfosec) • 8 de julio de 2024 Shhh, hay un descifrador de ransomware circulando. (Imagen: Shutterstock) ¿Cuál es la mejor estrategia para gestionar una vulnerabilidad conocida en el ransomware que ayuda a las víctimas a descifrar sus archivos de forma gratuita? Ver también: Identity Security Clinic Los investigadores de seguridad y las fuerzas del orden tienen dos opciones: el sigilo o el alcance. El sigilo prolonga la vida de la vulnerabilidad y la capacidad de los equipos de seguridad para explotarla. El alcance se asegura de que más personas sepan de ella, pero solo mientras exista. Este no era un escenario hipotético para el ransomware DoNex. La Policía Nacional Holandesa publicó un descifrador gratuito a finales de junio, tal vez sin saber que una empresa de seguridad comenzó a circular de forma privada su propio descifrador dos meses antes. “La ingeniería inversa de una muestra de DoNex reveló una vulnerabilidad que nos permitió descifrar todos los archivos cifrados para las víctimas bajo una condición trivial”, dijo Gijs Rijnders, quien trabaja como analista de amenazas cibernéticas e ingeniero inverso de malware para la Policía Nacional Holandesa. Detalló públicamente la vulnerabilidad en una presentación en la conferencia anual Recon 2024 en Montreal el 30 de junio titulada “La criptografía es difícil: romper el ransomware DoNex”. La presentación de Rijnders detalló cómo descifrar archivos cifrados con DoNex tiene algunas complicaciones, debido al uso por parte de su desarrollador de un cifrado intermitente, también conocido como cifrado parcial, que permite al malware cifrar archivos más rápidamente, reduciendo así el tiempo disponible para que los respondedores bloqueen el ataque (ver: Strike Force: Por qué los grupos de ransomware sienten la necesidad de velocidad). En el caso de DoNex, el código malicioso solo cifra por completo cualquier archivo que encuentre que tenga menos de 1 megabyte. De lo contrario, está diseñado para cifrar el primer 1 MB de cualquier archivo de menos de 10 MB de tamaño; cinco bloques diferentes de 1 MB para archivos más grandes de hasta 100 MB de tamaño; y 100 bloques de 1 MB cada uno para archivos de más de 100 MB de tamaño. Las víctimas pueden acceder al descifrador DoNexDecrypt a través del portal público/privado No More Ransom después de cargar una muestra de sus archivos bloqueados criptográficamente, que el servicio está diseñado para identificar. Gracias al descifrador gratuito, las víctimas pueden «descifrar archivos afectados por DoNex sin la necesidad de negociar con los ciberdelincuentes», dijo Rijnders. El lunes, la empresa de seguridad Avast lanzó públicamente su propio descifrador para DoNex. «En cooperación con las organizaciones policiales, hemos estado proporcionando silenciosamente el descifrador a las víctimas del ransomware DoNex desde marzo», dijo Avast en una publicación de blog del lunes, que enlaza a su descifrador. «La debilidad criptográfica se hizo pública en Recon 2024 y, por lo tanto, no tenemos motivos para mantener este secreto por más tiempo». “Prefiero no revelar públicamente detalles sobre los fallos de cifrado del #ransomware, pero como este ya se publicó, ahora estamos compartiendo públicamente nuestra herramienta de descifrado #DoNex”, dijo Jakub Kroustek, director de investigación de malware de Avast, en una publicación en la plataforma social X. Esta no es la primera vez que un grupo lanza un descifrador gratuito después de que uno ya estuviera circulando de forma privada por investigadores y fuerzas del orden. En febrero, los investigadores detallaron una vulnerabilidad en una versión de Windows del ransomware Rhysida y lanzaron un descifrador gratuito. “Ahí va otro”, dijo Fabian Wosar, jefe de investigación de ransomware en Emsisoft, en ese momento a través de la plataforma social X. Dijo que la vulnerabilidad “fue encontrada de forma independiente por al menos otras tres partes, que optaron por distribuirla en privado en lugar de buscar la publicación y alertar a Rhysida sobre su problema”. Esas partes incluían a Avast, que descubrió la vulnerabilidad en octubre de 2023; el Equipo de Respuesta a Emergencias Informáticas de Francia en junio de 2023; y Wosar en mayo de 2023. Wosar dijo que utilizó el descifrador secreto para rescatar «cientos de sistemas». No resulta obvio qué enfoque es mejor, el sigiloso o el de alcance. En el enfoque sigiloso, los investigadores descubren una solución alternativa o crean una herramienta de descifrado y la distribuyen dentro de un círculo de confianza de otros investigadores de seguridad, empresas de respuesta al ransomware y las fuerzas del orden, para que puedan ayudar colectivamente a las víctimas conocidas a escondidas y no avisar al grupo de ransomware. El beneficio es que retrasa el momento en que el grupo de ransomware se entera de que su malware de bloqueo de cifrado tiene un defecto, porque una vez que los delincuentes se dan cuenta, seguramente seguirá un malware actualizado. Después de todo, los delincuentes están utilizando el ransomware para ganar dinero. El inconveniente es que no todas las víctimas pueden saber que podrían tener acceso a una tarjeta para «salir de la cárcel gratis». Esa es una de las razones por las que los investigadores de seguridad recomiendan que todas las víctimas de ransomware se pongan en contacto con una empresa de lucha contra el ransomware de buena reputación para ver si existen soluciones alternativas para lo que les ha afectado. Estas empresas también pueden asesorar a las organizaciones que están sopesando el pago de un rescate y compartir información sobre cuántos de sus archivos es probable que recuperen, así como ayudarlas a negociar el precio del rescate que piden los atacantes. Los partidarios de la estrategia de alcance siguen un modelo básico: los investigadores de seguridad o las fuerzas del orden simplemente publican un descifrador. La ventaja de esta estrategia es que el descifrador debería ser fácil de encontrar y acceder para cualquier víctima, incluso si no quieren involucrar a otras organizaciones. La desventaja es que los delincuentes se enteran de que hay una falla y normalmente la solucionan a toda prisa, en detrimento de futuras víctimas. Afortunadamente para cualquiera que se enfrente a enigmas filosóficos irresolubles, la respuesta en este caso de estudio en particular puede no importar. «Desde abril de 2024, DoNex parece haber detenido su evolución, ya que no hemos detectado ninguna muestra nueva desde entonces», dijo Avast el lunes. «Además, el sitio Tor del ransomware ha estado inactivo desde entonces». Los investigadores dicen que DoNex es la última versión de una cepa de ransomware llamada Muse, que debutó en abril de 2022. Siguieron múltiples evoluciones, incluida DarkRace, que según los investigadores hizo uso del código fuente de LockBit filtrado en septiembre de 2022 por un desarrollador de ese grupo de ransomware. DarkRace debutó a mediados de 2023 y practicó una doble extorsión: retuvo los archivos robados a cambio de un rescate además de exigir un rescate por una herramienta de descifrado, según informó la empresa de ciberseguridad Cyble en junio de 2023. Para entonces, dijo, el sitio de filtración de datos de DarkRace había desaparecido después de enumerar solo dos víctimas. A principios de este año, un grupo llamado DoNex entró en la contienda, «utilizando muestras que se parecen mucho a las utilizadas anteriormente por el grupo DarkRace y LockBit por proxy», dijo John Moutos, pasante del SANS Institute, en una publicación de blog de abril. Los archivos cifrados por DoNex tienen una extensión .VictimID agregada al final de su nombre de archivo, dijo Symantec. Los investigadores detectaron por primera vez los ataques DoNex a principios de marzo. “El momento de creación de los archivos de las muestras es mediados de febrero, por lo que el ransomware puede haberse distribuido antes de la fecha del primer informe”, informó Fortinet en abril. Las primeras víctimas añadidas al sitio de filtración de datos del grupo también parecen ser de febrero. Los blogs de filtración de datos nunca cuentan la historia completa, ya que los grupos solo enumeran a las víctimas que no pagan, e incluso entonces pueden estar fingiendo víctimas para intentar parecer más formidables (ver: Los blogs de filtración de datos de los grupos de ransomware mienten: deje de confiar en ellos). No está claro si el mismo desarrollador u operadores están detrás de Muse, DarkRace o DoNex. Si cambian el nombre y reinician su operación, utilizando malware parcheado, sigue siendo una pregunta abierta. URL de la publicación original: https://www.databreachtoday.com/blogs/whats-best-strategy-for-exploiting-flaws-in-ransomware-p-3661