¡Ojo con Gandcrab! El ransomware que sigue haciendo noticia

En lo que va de este año (2018) uno de los ransonware que más ha llamado la atención es Gandcrab, dado que, a pesar de ser un malware ‘as-a-service’, y de no ser la gran cosa a nivel de programación, es efectivo. Su rápido crecimiento (cuatro versiones) lo ha posicionado como una de las familias de ransomware más detectadas en Latinoamérica. 

En sus dos primeros meses, Gandcrab hizo de las suyas en más de 50.000 computadores, en países como Estados Unidos, Inglaterra, entre algunos otros. Actualmente, y ya con más de ocho meses en el ciberespacio, este ransomware ”emigró” de región, y la mayor cantidad de infecciones se detectaron en Latinoamérica: Perú, México, Ecuador, Colombia y Brasil, son los países más afectados.

¿Cómo funciona y qué es un Ransomware As a Service? 

Primero, y como ya mencionamos anteriormente, es un Ransomware modelo As-a-Service, ¿Qué quiere decir eso? Significa que toma prestado el modelo Software-as-a-Service (SaaS). El modelo, en este caso malicioso, y basado en la suscripción, permite al cibercriminal novato lanzar ataques ransomware sin mucha dificultad. El atacante puede encontrar varios paquetes RaaS en el mercado que reducen la necesidad de saber codificar un malware. Por ende, es comúnmente utilizado por ciberdelincuentes que no tienen mucho conocimiento técnico.

En palabras sencillas, Gandcrab funciona como una ”franquicia”, donde sus creadores son los encargados de escribir el código, y luego se dedican a venderlo y/o arrendarlo bajo un programa de afiliación para quienes tengan la intención de lanzar un ataque. Además, se brinda conocimiento técnico e información paso a paso sobre cómo lanzar un ataque de ransomware utilizando el servicio, además de una plataforma que incluso puede mostrar el estado del ataque utilizando un tablero en tiempo real. Una vez que el ataque tiene éxito, el dinero obtenido se divide entre el proveedor del servicio, el codificador y el atacante.

Este modelo es muy tentador para algunos ciberdelincuentes. Si das un paseo por la Dark Web podrás encontrar anuncios de RaaS, como es en el caso de Gandcrab.

¿Modus operandi?

En su cuarta versión, este malware busca cifrar archivos con distintas extensiones (PDF, textos, multimedia, entre otros).

Gandcrab comúnmente se infiltra en el computador a través de: Archivos adjuntos ”sucios” en email/spam, conexiones RDP con baja protección, o a través de ejecutables en páginas webs (como webs de torrents y archivos compartidos en modalidad P2P, o cracks de softwares, por ejemplo). Una vez el virus entra, realiza una comprobación completa del sistema buscando los archivos para bloquear. Luego de esto, agrega la extensión .KRAB a todos los archivos con extensiones que le sirvan (como mencionamos arriba). Por ello, un archivo imagen.jpg será modificado a imagen.jpg.KRAB y se convertirá en inaccesible.

¿Y cómo recupero mis archivos?

La contraseña para desbloquear los archivos está ubicada en un servidor que solo es accesible para los cibercriminales de GandCrab 4. La mala noticia para los atacados, es que cada computador infectado tiene una password distinta, haciendo imposible reutilizarla. Pero si estás infectado, los expertos recomiendan NO pagarles a los atacantes, ya que por lo general, no envían la clave. Por lo que se recomienda realizar periódicamente una copia de seguridad de tus archivos.

¿Otras recomendaciones?

Aunque el malware en sus versiones anteriores ya fue detenido gracias a una herramienta de desbloqueo de datos, en su reciente edición no se puede decir lo mismo. Por lo que nuestras recomendaciones van por el lado de mantenerte al margen de descargar cracks (los de Adobe son muy comunes), actualización de sistema que no parezcan legítimas (una de las formas en las que hizo mayor daño en Latinoamérica fue a través de la excusa de ser una actualización de fuentes para OS), y no descargar aplicaciones desde sitios web no oficiales.