12 jun 2019

Desarrolladores del ransomware GandCrab anunciaron que dejarán de operar

Según comunicaron los desarrolladores del ransomware GandCrab, luego de recaudar una millonaria suma de dinero de las víctimas, dejarán de operar.

Hacia fines de enero de 2018 los cibercriminales detrás del ransomware GandCrab comenzaron a promocionar el malware y en poco tiempo se posicionó entre las 5 familias de ransomware más detectadas, llegando a niveles similares a los de WannaCry y/o Crysis; aunque con la particularidad también de ser un malware que recibió una gran cantidad de actualizaciones en un corto período de tiempo. Sin embargo, luego de aproximadamente un año y medio de actividad, sus operadores comunicaron que darán de baja esta familia de ransomware.
Es importante destacar que GandCrab se distribuía hasta ahora como un ransomware como servicio (RaaS), por lo que los operadores de esta familia ofrecían a los interesados la posibilidad de participar de un "programa de partners" y dividir las ganancias.

Si bien, tal como se aprecia en la captura de pantalla que compartió el investigador en seguridad Damian, los operadores de GandCrab aseguran que obtuvieron ganancias de más de dos mil millones de dólares y un promedio de dos millones y medio por semana de sus víctimas, la veracidad de estas afirmaciones son imposibles de confirmar; más aun teniendo en cuenta que las bromas y la ironía es algo que ha caracterizado a los actores detrás de esta familia de ransomware en sus comunicados y en otras instancias de su accionar.

Igualmente, algo que sí podemos asegurar es que rápidamente se metió entre las familias de ransomware con más detecciones en la región, y para el mes de agosto de 2018, cinco países de América Latina figuraban entre los diez países en los que más detecciones se habían registrado de esta amenaza a nivel mundial. Estos eran: Perú (45,2%), México (38%), Ecuador (17,2%), Colombia (9,9%) y Brasil (8,7%).

La forma de distribuirse ha sido muy diversa. Si bien a nivel global se detectaron campañas de spam distribuyendo la amenaza a través del correo, en América Latina, al menos durante los primeros cuatro meses, utilizaron técnicas de ingeniería social para engañar a sus víctimas con la excusa de ser una actualización de fuentes para el sistema operativo. Sin embargo, el salto en las detecciones de esta familia en la región se registró meses después, cuando los cibercriminales comenzaron a utilizar aplicaciones para crackear programas de distinto tipo, desde editores de texto o multimedia hasta videojuegos, tal como vimos en el primer análisis que realizamos de esta familia.

En su comunicado, publicado en un conocido foro de hacking, los actores maliciosos detrás de este ransomware dicen que ya dejaron de promocionar el malware y que solicitaron a quienes lo distribuyen que dejen de hacerlo en un plazo de 20 días desde la publicación del anuncio. Además, advierten a las víctimas que si no pagan ahora para recuperar sus archivos nadie podrá recuperarlos luego, ya que las llaves serán eliminadas.

Herramientas de descifrado

Muchas veces sucede que cuando cibercriminales deciden descontinuar una amenaza, como un ransomware, deciden publicar la llave maestra de manera pública. Esto permite crear herramientas para descifrar los archivos que fueron afectados por una familia en particular, tal como fue el caso de TeslaCryp, cuando gracias a que publicaron la llave maestra los investigadores de ESET pudieron crear una herramienta de descifrado para las víctimas del ransomware Tesla.

En el caso de GandCrab, creada por BitDefender, la nueva herramienta de descifrado de GandCrab puede desbloquear archivos cifrados por las últimas versiones de este ransomware, de 5.0 a 5.2, así como para las versiones anteriores del ransomware de GandCrab.

La recuperación de las claves ha llegado justo a tiempo antes del cierre del servicio. Ya a principios de mes el grupo tras GandCrab anunciaba en los foros de habla rusa exploit.in que cerrarían a finales de mes tras haber logrado 2000 millones de dólares a un ritmo de 150 millones al año, habiendo blanqueado ya todo el dinero.

Fuente: WeLiveSecurity

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!