\n<\/p>\n
Los piratas inform\u00e1ticos utilizan ransomware para atacar a todas las industrias y devolver el acceso a los archivos de la v\u00edctima. Es un negocio lucrativo. En los primeros seis meses de 2023, las bandas de ransomware, aunque la mayor\u00eda de los gobiernos. Cada vez m\u00e1s, los profesionales de la seguridad se unen a las fuerzas del orden para proporcionar herramientas de descifrado gratuitas, liberando archivos bloqueados y eliminando la tentaci\u00f3n de las v\u00edctimas de pagar.<\/p>\n
Hay un par de formas principales en que los descifradores de ransomware crean herramientas: ingenier\u00eda inversa para detectar errores, trabajar con las autoridades y recopilar claves de cifrado disponibles p\u00fablicamente. La duraci\u00f3n del proceso var\u00eda seg\u00fan la complejidad del c\u00f3digo, pero normalmente requiere informaci\u00f3n sobre los archivos cifrados, versiones no cifradas de los archivos e informaci\u00f3n del servidor del grupo de hackers. \u201cEl simple hecho de tener el archivo de salida cifrado suele ser in\u00fatil. Necesitas la muestra en s\u00ed, el archivo ejecutable\u201d, dijo Jakub Kroustek, director de investigaci\u00f3n de malware en la empresa de antivirus Avast. No es f\u00e1cil, pero cuando funciona, rinde dividendos a las v\u00edctimas afectadas.<\/p>\n
Primero, debemos entender c\u00f3mo funciona el cifrado. Para un ejemplo muy b\u00e1sico, digamos que un dato podr\u00eda haber comenzado como una oraci\u00f3n reconocible, pero aparece como \u00abJ qsfgfs dbut up epht\u00bb una vez cifrado. Si sabemos que una de las palabras no cifradas en \u00abJ qsfgfs dbut up epht\u00bb se supone que es \u00abgatos\u00bb, podemos empezar a determinar qu\u00e9 patr\u00f3n se aplic\u00f3 al texto original para obtener el resultado cifrado. En este caso, es simplemente el alfabeto ingl\u00e9s est\u00e1ndar con cada letra adelantada un lugar: A se convierte en B, B se convierte en C y \u00abPrefiero gatos a perros\u00bb se convierte en la cadena de tonter\u00edas de arriba. Es mucho m\u00e1s complejo para los tipos de cifrado utilizados por las bandas de ransomware, pero el principio sigue siendo el mismo. El patr\u00f3n de cifrado tambi\u00e9n se conoce como \u00abclave\u00bb y, al deducir la clave, los investigadores pueden crear una herramienta que pueda descifrar los archivos.<\/p>\n
Algunas formas de cifrado, como el Est\u00e1ndar de cifrado avanzado de claves de 128, 192 o 256 bits, son pr\u00e1cticamente irrompibles. En su nivel m\u00e1s avanzado, los bits de datos de \u00abtexto sin formato\u00bb no cifrados, divididos en fragmentos llamados \u00abbloques\u00bb, se someten a 14 rondas de transformaci\u00f3n y luego se generan en su forma cifrada (o \u00abtexto cifrado\u00bb). \u00abA\u00fan no tenemos la tecnolog\u00eda de computaci\u00f3n cu\u00e1ntica que pueda romper la tecnolog\u00eda de cifrado\u00bb, dijo Jon Clay, vicepresidente de inteligencia de amenazas de la empresa de software de seguridad Trend Micro. Pero, afortunadamente para las v\u00edctimas, los piratas inform\u00e1ticos no siempre utilizan m\u00e9todos potentes como AES para cifrar archivos.<\/p>\n
Si bien algunos esquemas criptogr\u00e1ficos son pr\u00e1cticamente imposibles de descifrar, es probable que los piratas inform\u00e1ticos sin experiencia cometan errores. Si los piratas inform\u00e1ticos no aplican un esquema est\u00e1ndar, como AES, y optan por crear el suyo propio, los investigadores pueden buscar errores. \u00bfPor qu\u00e9 har\u00edan esto? Principalmente ego. \u00abQuieren hacer algo ellos mismos porque les gusta o creen que es mejor por razones de velocidad\u00bb, dijo Jornt van der Wiel, investigador de ciberseguridad de Kaspersky.<\/p>\n
Por ejemplo, as\u00ed es como Kaspersky descifr\u00f3 la cepa de ransomware. Era una cepa dirigida a empresas espec\u00edficas, con una lista desconocida de v\u00edctimas. Yanluowang utiliz\u00f3 el cifrado de flujo Sosemanuk para cifrar datos: un proceso de uso gratuito que cifra el archivo de texto plano un d\u00edgito a la vez. Luego, cifr\u00f3 la clave utilizando un algoritmo RSA, otro tipo de est\u00e1ndar de cifrado. Pero hab\u00eda un error en el patr\u00f3n. Los investigadores pudieron comparar el texto sin formato con la versi\u00f3n cifrada, como se explic\u00f3 anteriormente, y aplicar ingenier\u00eda inversa a una herramienta de descifrado. De hecho, hay toneladas que lo tienen.<\/p>\n
Los descifradores de ransomware utilizar\u00e1n sus conocimientos de ingenier\u00eda de software y criptograf\u00eda para obtener la clave del ransomware y, a partir de ah\u00ed, crear\u00e1n una herramienta de descifrado, seg\u00fan Kroustek. Los procesos criptogr\u00e1ficos m\u00e1s avanzados pueden requerir fuerza bruta o hacer conjeturas basadas en la informaci\u00f3n disponible. A veces, los piratas inform\u00e1ticos utilizan un generador de n\u00fameros pseudoaleatorios para crear la clave. Un verdadero RNG ser\u00e1 aleatorio, claro, pero eso significa que no ser\u00e1 f\u00e1cil de predecir. Un pseudo-RNG, como lo explica van der Wiel, puede depender de un patr\u00f3n existente para parecer aleatorio cuando en realidad no lo es; el patr\u00f3n podr\u00eda basarse en el momento en que se cre\u00f3, por ejemplo. Si los investigadores conocen una parte de eso, pueden probar diferentes valores de tiempo hasta que deduzcan la clave.<\/p>\n
Pero obtener esa clave a menudo depende de trabajar con las autoridades para obtener m\u00e1s informaci\u00f3n sobre c\u00f3mo funcionan los grupos de hackers. Si los investigadores pueden obtener la direcci\u00f3n IP del pirata inform\u00e1tico, pueden solicitar a la polic\u00eda local que confisque los servidores y obtenga un volcado de memoria de su contenido. O, si los piratas inform\u00e1ticos han utilizado un servidor proxy para ocultar su ubicaci\u00f3n, la polic\u00eda podr\u00eda utilizar analizadores de tr\u00e1fico como NetFlow para determinar ad\u00f3nde va el tr\u00e1fico y obtener la informaci\u00f3n desde all\u00ed, seg\u00fan van der Wiel. Esto es posible a trav\u00e9s de fronteras internacionales porque permite a la polic\u00eda solicitar una imagen de un servidor en otro pa\u00eds con urgencia mientras esperan que se procese la solicitud oficial.<\/p>\n
El servidor proporciona informaci\u00f3n sobre las actividades del pirata inform\u00e1tico, como a qui\u00e9n podr\u00eda dirigirse o su proceso para exigir un rescate. Esto puede indicar a los descifradores de ransomware el proceso por el que pasaron los piratas inform\u00e1ticos para cifrar los datos, detalles sobre la clave de cifrado o el acceso a archivos que pueden ayudarles a realizar ingenier\u00eda inversa en el proceso. Los investigadores revisan los registros del servidor en busca de detalles de la misma manera que usted puede ayudar a su amigo a desenterrar detalles sobre su cita de Tinder para asegurarse de que sean leg\u00edtimos, buscando pistas o detalles sobre patrones maliciosos que puedan ayudar a descubrir sus verdaderas intenciones. Los investigadores pueden, por ejemplo, descubrir parte del archivo de texto plano para compararlo con el archivo cifrado y comenzar el proceso de ingenier\u00eda inversa de la clave, o tal vez encuentren partes del pseudo-RNG que puedan comenzar a explicar el patr\u00f3n de cifrado.<\/p>\n
Trabajando con crear una herramienta de descifrado para el ransomware Babuk Tortilla. Esta versi\u00f3n de ransomware ten\u00eda como objetivo la infraestructura nacional, de fabricaci\u00f3n y de atenci\u00f3n m\u00e9dica, cifrando los dispositivos de las v\u00edctimas y eliminando copias de seguridad valiosas. Avast ya hab\u00eda creado un descifrador gen\u00e9rico Babuk, pero la variedad Tortilla result\u00f3 dif\u00edcil de descifrar. La polic\u00eda holandesa y Cisco Talos trabajaron juntos para detener a la persona detr\u00e1s de la cepa y en el proceso obtuvieron acceso al descifrador Tortilla.<\/p>\n
Pero a menudo la forma m\u00e1s f\u00e1cil de crear estas herramientas de descifrado proviene de las propias bandas de ransomware. Tal vez se est\u00e9n retirando o simplemente se sientan generosos, pero a veces los atacantes lo har\u00e1n. Luego, los expertos en seguridad pueden usar la clave para crear una herramienta de descifrado y liberarla para que las v\u00edctimas la utilicen en el futuro.<\/p>\n
Generalmente, los expertos no pueden compartir mucho sobre el proceso sin darles una ventaja a las bandas de ransomware. Si divulgan errores comunes, los piratas inform\u00e1ticos pueden utilizarlos para mejorar f\u00e1cilmente sus pr\u00f3ximos intentos de ransomware. Si los investigadores nos dicen en qu\u00e9 archivos cifrados est\u00e1n trabajando ahora, las pandillas sabr\u00e1n que est\u00e1n tras ellos. Pero la mejor manera de evitar pagar es ser proactivo. \u00abSi ha hecho un buen trabajo al realizar una copia de seguridad de sus datos, tiene muchas m\u00e1s posibilidades de no tener que pagar\u00bb, afirm\u00f3 Clay.<\/p>\n<\/div>\n