No More Ransom, programa de Europol para recuperar archivos secuestrados

5

Más de 200 mil víctimas de ataques de ransomware han podido recuperar sus archivos secuestrados, de forma gratuita, gracias a la iniciativa de Europol lanzada hace tres años: No More Ransom o No Más Secuestros, en Español.

188 países y tres millones de visitas individuales ha sido el alcance del proyecto hasta ahora, pero lo más importante es que ha conseguido reducir los ingresos de los ciberdelincuentes en 108 millones de dólares.

Desde ESET, empresa de ciberseguridad de la Unión Europea, se ha informado que ha colaborado con esta iniciativa casi desde sus orígenes y que actualmente es una de las entidades asociadas que le aportan nuevas herramientas o claves de descifrado.

Se ha podido conocer que No More Ransom es capaz de descifrar 109 tipos diferentes de ransomware, una cifra que crece cada mes, de acuerdo a la publicación.

“Por ejemplo, los esfuerzos puestos en aniquilar GandCrab, uno de los más agresivos de los últimos meses, fue uno de sus grandes éxitos: más de 40.000 personas han conseguido recuperar sus archivos y han dejado de pagar 50 millones de dólares que se les había pedido como rescate”.

Hay que recordar que en junio de este año se produjo una buena noticia relacionada con el ransomware, especialmente para aquellos usuarios que se vieron seriamente afectados por las variantes de GandCrab.

Sus creadores anunciaron que se retiraban tras supuestamente haber ganado decenas de millones de dólares y, pocos días después, se liberaban herramientas gratuitas para descifrar todas las variantes de este ransomware que tanto ha dado qué hablar.

No obstante, otras investigaciones apuntan a que dos muestras de ransomware conocidas como Ryuk y REvil (también llamadas Sodinokibi o Sodin), aparentemente serían producto de los mismos desarrolladores de GandCrab, por lo que podrían ser considerados como su relevo.

Actuación de Europol

Entre los socios que colaboran con Europol para su iniciativa No More Ransom se encuentran 100 empresas públicas y privadas, así como 42 cuerpos de seguridad y cinco agencias de la Unión Europea.

Desde ESET y Europol se ha recomendado no pagar nunca un rescate porque, hacerlo, no garantiza recuperar la información retenida por los atacantes y además se anima a los delincuentes a seguir con esta actividad.

En todo caso, si se es víctima de un ataque de ransomware, lo primero que se debe hacer es poner el suceso en conocimiento de la policía. Además, desde ESET se ha exhortado a seguir algunos consejos.

“Mantener actualizados el sistema operativo y las aplicaciones. No abrir archivos de procedencia desconocida o sospechosos, aunque procedan de remitentes de confianza, ni pinchar en enlaces acortados”.

También se ha recomendado contar con una política de gestión de usuarios dentro de la organización, que facilite el acceso a la administración del sistema sólo a los usuarios necesarios, así como realizar copias de seguridad que permitan la continuidad del negocio en caso de ataque de ransomware.

Específicamente, desde la compañía de ciberseguridad igualmente se ha hecho un llamado a contar con herramientas de seguridad que sean capaces de detectar el ataque en cuanto ocurra, tal como ESET Smart Security.

Relevo de GandCrab

Josep Albors, experto en ciberseguridad de ESET, ha anunciado la prevalencia de las muestras de ransomware Ryuk y REvil, lo que sigue suponiendo ingresos muy interesantes para los ciberdelincuentes a pesar de conocerse el cese de actividades de GandCrab.

En una entrada de blog ha informado que la primera se ha vuelto famosa por sus continuos ciberataques al sector público, tales como ayuntamientos, hospitales, entre otras instituciones.

Por su parte, la segunda se especializa en atacar a empresas de tamaño medio mediante la utilización e infección previa de los productos ofrecidos por un MSP (Proveedor de Servicios Gestionados).

Ambos, de acuerdo a lo señalado en su artículo, aparentemente serían producto de los mismos desarrolladores de GandCrab (un gran dolor de cabeza para las organizaciones), por lo que podrían ser considerados como su relevo.

“El caso de los ataques al sector público es especialmente llamativo, no solo por las continuas noticias que se vienen produciendo desde hace meses, sino también porque las cantidades solicitadas llegan a multiplicar por 10 las que se piden a empresas privadas”.

Los pagos realizados por las víctimas pertenecientes al sector público ascienden a 338 mil 700 dólares, según Albors. Aunque el 92% de los afectados por Ryuk ha logrado descifrar sus archivos tras realizar el pago, considera que esta práctica no sería recomendable porque alienta a los ciberdelincuentes y podría tener otras consecuencias negativas.

Para Josep Albors, una de las características comunes de ambos ransomware es la prohibición de instalarlos en ciertos países como los pertenecientes a la Commonwealth de Estados Independientes, incluyendo a Rusia y Ucrania, así como en Siria.

“El caso de Siria es especialmente llamativo y viene supuestamente producido por casos en los que las víctimas habían perdido fotografías de sus seres queridos en la guerra que ha asolado ese país en los últimos años. Al parecer, los delincuentes se habrían compadecido de ellos e intentan evitar que casos similares vuelvan a suceder”.

Entre tanto, en la parte técnica, ha hecho énfasis en un informe reciente de la empresa de seguridad Holandesa Tesorion, donde se ha revelado que existen similitudes entre GandCrab y REvil en la forma de generar URLs que luego son utilizadas en el proceso de infección.

“Podríamos concluir diciendo que, tras la desaparición de GandCrab, la amenaza que supone el ransomware sigue siendo elevada, especialmente para las empresas y organismos públicos. El relevo que han tomado otras variantes hace que los ataques se sigan produciendo con la misma intensidad”.

A su juicio, se hace necesario adoptar medidas como la creación de copias de seguridad, planes de continuidad de negocio, segmentación de redes y la implementación de soluciones efectivas de seguridad, si se quiere que las empresas sean capaces de combatir estos y otros ciberataques de forma exitosa.