El 31 de mayo de 2019, los cibercriminales detrás del ransomware GandCrab hicieron algo inusual en el mundo del malware. Anunciaron que estaban cerrando operaciones y potencialmente dejando millones de dólares sobre la mesa.
"Todo lo bueno llega a su fin", escribieron en un post autopromocional que apareció en un notorio foro de cibercrimen. Desde su lanzamiento en enero de 2018, los autores de GandCrab afirmaron haber recaudado más de 2 mil millones de dólares en pagos de rescate ilícitos y era hora de "un merecido retiro".
"Conseguimos legalizar este dinero en varias esferas del negocio blanco, tanto en la vida real como en Internet", continuaba el post. "Hemos demostrado que al hacer malas acciones, la retribución no llega."
A los socios afiliados, aquellos que ayudaron a propagar el ransomware a cambio de una parte de las ganancias, se les instó a cerrar operaciones mientras que se les dijo a las víctimas que pagaran ahora o perderían sus datos cifrados para siempre.
El post terminó con un agradecimiento mordaz a toda la comunidad de afiliados por "todo el arduo trabajo".
Mientras que era divertido alardear humildemente, varias preguntas permanecen sin respuesta. ¿Realmente los creadores de GandCrab ganaron tanto dinero como decían? ¿Quiénes son realmente y se están retirando de verdad? Más importante aún, ¿el ransomware GandCrab sigue siendo una amenaza para los consumidores?
En este artículo intentaremos responder a todas esas preguntas persistentes, proporcionar recursos para las víctimas y darle un epílogo a la historia de GandCrab.
¿Qué es GandCrab?
Observado por primera vez en enero de 2018, el ransomware GandCrab es un tipo de malware que encripta los archivos de las víctimas y exige un pago de rescate para recuperar el acceso a sus datos. GandCrab se dirige a consumidores y empresas con PCs que ejecutan Microsoft Windows.
Con un nombre que suena como una enfermedad de transmisión sexual, uno podría pensar que "GandCrab" tiene algo que ver con la naturaleza infecciosa del ransomware y su propensión a propagarse por redes empresariales. Sin embargo, según ZDNet, el nombre de GandCrab puede derivar de uno de sus creadores que usa el alias "Crab" o "Gandcrab".
GandCrab no infecta máquinas en Rusia o en la ex Unión Soviética, un fuerte indicativo de que el autor o autores están basados en la región. Poco más se sabe sobre el equipo de GandCrab.
Las empresas legítimas usan modelos de afiliados todo el tiempo, como Amazon. Por ejemplo, digamos que tienes un blog donde revisas productos electrónicos como auriculares, teléfonos inteligentes, portátiles, computadoras, etc. Cada reseña incluye un enlace único que permite a los visitantes comprar el artículo destacado en Amazon. A cambio de enviar al cliente a Amazon, obtienes un porcentaje del precio de compra.
Como se aplica a GandCrab, los autores de la amenaza regalan su tecnología a otros cibercriminales emprendedores (es decir, afiliados). A partir de ahí, depende de los afiliados descubrir cómo encontrarán nuevos clientes (es decir, víctimas). Cualquier rescate pagado se reparte entre el afiliado y el equipo de GandCrab en un 60/40 o un 70/30 para los afiliados principales.
El periodista de ciberseguridad Brian Krebs informa que uno de los mejores ganó $125,000 en comisiones en el transcurso de un mes.
Utilizando el modelo de afiliados, los criminales con conocimientos técnicos limitados pueden involucrarse en la acción del ransomware. Y con los criminales de bajo nivel responsables de encontrar e infectar máquinas, los creadores de GandCrab pueden concentrarse en revisar su software, añadir nuevas funciones y mejorar su tecnología de cifrado. En total, hay cinco versiones diferentes de GandCrab.
Tras la infección, las notas de rescate se colocan de manera prominente en la computadora de la víctima, dirigiéndolos a un sitio web en la Dark Web (la parte oculta de la web que requiere un navegador especial para verse).
Al llegar a la versión en inglés del sitio web, las víctimas ven el mensaje plagado de errores "WELCOME! WE ARE REGRET, BUT ALL YOUR FILES WAS INFECTED!"
Las versiones posteriores del sitio web de rescate presentan a Mr. Krabs del programa infantil animado “Spongebob Square Pants”. Al parecer, los cibercriminales no están demasiado preocupados por las violaciones de derechos de autor.
Para calmar cualquier temor sobre el pago del rescate, GandCrab permite a las víctimas descifrar un archivo de su elección de forma gratuita.
Los pagos de GandCrab se realizan a través de una criptomoneda oscura llamada Dash, valorada por los cibercriminales por su enfoque extremo en la privacidad. Las demandas de rescate son establecidas por el afiliado, pero generalmente se ubican entre $600 y $600,000. Tras el pago, las víctimas pueden descargar inmediatamente el descifrador de GandCrab y recuperar el acceso a sus archivos.
Si las víctimas tienen algún problema para pagar el rescate o descargar la herramienta de descifrado, GandCrab proporciona soporte en línea "gratuito" las 24 horas del día.
"GandCrab sigue un modelo de negocio de marketing de afiliados, también conocido como Ransomware-as-a-Service (RaaS), en el cual los cibercriminales de bajo nivel hacen el trabajo duro de encontrar nuevas víctimas mientras que los autores de la amenaza están libres para experimentar y mejorar su creación."
¿Cuál es la historia de GandCrab?
Sería un error pensar que el ransomware es una invención reciente. De hecho, todas las formas de ransomware, incluido GandCrab, han seguido una plantilla básica establecida hace treinta años por una forma temprana de virus informático.
El primer proto-ransomware llegó en 1989, literalmente llegando a los buzones de correo de las víctimas. Conocido como el virus informático del SIDA, el SIDA se propagó a través de disquetes de 5,25" enviados a las víctimas por correo ordinario. El disco estaba etiquetado como "Información sobre el SIDA" e incluía una breve encuesta diseñada para medir el riesgo de una persona de contraer el virus del SIDA (el biológico).
Cargar la encuesta iniciaba el virus, después de lo cual el virus permanecía inactivo durante los siguientes 89 arranques. Al encender su computadora por la 90ª vez, las víctimas se encontraban con una notificación en pantalla solicitando pago por “su arrendamiento de software”. Si las víctimas intentaban acceder a sus archivos, descubrirían que todos los nombres de sus archivos habían sido desordenados.
Los pagos de rescate debían enviarse a un apartado postal en Panamá y, a cambio, las víctimas recibían un "paquete de renovación de software" que revertía la cuasi-cifrado.
El método de operación de GandCrab y otras amenazas modernas de ransomware sigue siendo relativamente sin cambios desde los días del virus informático del SIDA. La única diferencia es que hoy en día los cibercriminales tienen un arsenal vasto de tecnologías avanzadas con las cuales apuntar, infectar y victimizar a los consumidores.
Cuando se observó por primera vez en enero de 2018, GandCrab se propagó a través de anuncios maliciosos (también conocidos como malvertising) y ventanas emergentes falsas servidas por sitios web comprometidos. Al aterrizar en un sitio malicioso, las víctimas recibían una alerta en pantalla que las incitaba a descargar una fuente que faltaba. Al hacerlo, se instalaba el ransomware.
Al mismo tiempo que la campaña de infección por fuentes, GandCrab también se propagó a través de archivos adjuntos de correos electrónicos cargados de malware (también conocidos como malspam) difundidos desde una botnet de computadoras pirateadas (las botnets también se utilizan para ataques DDoS). En un ejemplo de manual de lo que es la ingeniería social, estos correos electrónicos presentaban como asunto “Factura pendiente #XXX”. Motivados por el miedo, la curiosidad o la avaricia, las víctimas abrían el correo electrónico y la "factura" cargada de malware adjunta.
Durante la mayor parte de su corta pero destructiva trayectoria, sin embargo, GandCrab generalmente se propagó de una computadora a otra a través de algo conocido como kit de explotación. Los exploits son una forma de ataque cibernético que se aprovecha de debilidades o vulnerabilidades en un sistema objetivo para obtener acceso no autorizado a ese sistema. Un kit de explotación es un paquete plug-and-play de varias tecnologías diseñadas para aprovechar uno o más exploits.
El equipo de Malwarebytes Labs ha informado de al menos cuatro kits de exploits diferentes usados para propagar GandCrab, sobre los cuales puedes leer:
- El ransomware GandCrab distribuido por los kits de exploits RIG y GrandSoft (actualizado)
- Vidar y GandCrab: observada en la naturaleza la combinación de un ladrón y ransomware
- El kit de explotación Magnitude cambia al ransomware GandCrab
En febrero de 2018, un mes después de que GandCrab fuera visto por primera vez, la empresa de ciberseguridad Bitdefender lanzó una herramienta gratuita de descifrado para GandCrab. Esto llevó a los autores de GandCrab a liberar una nueva versión de su ransomware con nueva tecnología de cifrado. A día de hoy, la versión más reciente de la herramienta de descifrado funciona en las versiones de GandCrab 1, 4, 5.01 y 5.2. Hasta el momento, no hay una herramienta de descifrado gratuita disponible para las versiones 2 y 3 de GandCrab.
En octubre de 2018, una víctima de la Guerra Civil Siria llamó "despiadados" a los creadores de GandCrab por cifrar las fotos de sus hijos muertos. En respuesta, el equipo de GandCrab liberó la clave de descifrado para cualquier víctima de GandCrab ubicada en Siria y añadió a Siria a la lista de países no atacados por el ransomware GandCrab.
En enero de 2019, por primera vez se vio a afiliados usando lo que se conoce como un ataque de protocolo de escritorio remoto (RDP). Con este tipo de ataque, los perpetradores escanean una red dada para encontrar sistemas que estén configurados para acceso remoto; es decir, un sistema al que un usuario o administrador puede iniciar sesión y controlar desde otra ubicación. Una vez que los atacantes encuentran un sistema configurado para acceso remoto, intentarán adivinar las credenciales de inicio de sesión usando una lista de nombres de usuario y contraseñas comunes (también conocido como ataque de fuerza bruta o diccionario).
Al mismo tiempo, los afiliados de GandCrab aprovecharon una larga y severa temporada de gripe (21 semanas) para propagar el ransomware a través de correos electrónicos phishing supuestamente de los Centros para el Control y la Prevención de Enfermedades (CDC), con el asunto “Advertencia de pandemia de gripe”. Abrir el documento de Word adjunto cargado de malware iniciaba la infección del ransomware.
Gracias a su ejército de afiliados, su metodología de ataque diversa y revisiones regulares de su código, GandCrab se convirtió rápidamente en la detección de ransomware más común entre los objetivos empresariales y de consumidores para 2018, según el informe Estado del Malware de Malwarebytes Labs.
A pesar de su éxito, o quizás a causa de él, GandCrab puso fin a su actividad en mayo de 2019, un año y medio después de su lanzamiento. Los investigadores de ciberseguridad han presentado varias teorías sobre el porqué.
GandCrab no es tan exitoso como sus creadores lo hicieron parecer. No sabemos realmente cuánto dinero ganó la banda de GandCrab. Su afirmación de haber ganado 2 mil millones de dólares puede estar inflada y aquí está el porqué: Los investigadores en ciberseguridad desarrollaron herramientas de descifrado gratuitas para versiones anteriores del ransomware. Apenas dos semanas después de que el equipo de GandCrab anunciara que se retiraban, los investigadores de Bitdefender lanzaron una herramienta de descifrado final capaz de desencriptar la última versión de GandCrab. Con una mayor conciencia pública de las herramientas de descifrador gratuitas, más y más posibles víctimas evitan pagar cualquier rescate potencial.
El grupo de GandCrab continuará creando ransomware u otro tipo de malware bajo un nombre diferente. Al anunciar que han cesado sus operaciones, el grupo de GandCrab es libre de atormentar al mundo con nuevas amenazas astutas, alejados de la mirada atenta de los investigadores de ciberseguridad y las fuerzas del orden. Como era de esperar, los investigadores en ciberseguridad de Malwarebytes informaron sobre una nueva cepa de ransomware que tenía un parecido notable con GandCrab.
Conocido como Sodinokibi (también conocido como Sodin o REvil), este ransomware fue detectado en la naturaleza casi dos meses después de que GandCrab dejara de operar y los investigadores inmediatamente trazaron comparaciones con el ransomware desaparecido. Hasta ahora, no hay pruebas concluyentes que impliquen a la banda de GandCrab como los malos detrás de Sodinokibi, pero es una apuesta segura.
Para empezar, Sodinokibi sigue el mismo modelo de ransomware-as-a-service: el equipo de GandCrab posee y soporta el software, permitiendo a cualquier aspirante a cibercriminal utilizarlo a cambio de una parte de las ganancias.
Sodinokibi sigue el mismo proceso de actualización iterativa que GandCrab. Hasta la fecha, ha habido seis versiones de Sodinokibi.
Sodinokibi emplea algunos de los mismos vectores de infección, a saber, kits de explotación y archivos adjuntos de email maliciosos. En un giro nuevo, sin embargo, los criminales detrás de Sodinokibi han comenzado a usar proveedores de servicios gestionados (MSP) para propagar infecciones. En agosto de 2019, cientos de consultorios dentales en todo el país descubrieron que ya no podían acceder a sus registros de pacientes. Los atacantes usaron un MSP comprometido, en este caso una compañía de software de registros médicos, para desplegar el ransomware Sodinokibi en los consultorios dentales que usaban el software de gestión de registros.
Finalmente, la nota de rescate y el sitio de pago de Sodinokibi tienen más de un ligero parecido con los de GandCrab.
Cómo protegerte del GandCrab
Aunque el equipo de Ciencias de Datos de Malwarebytes informa que las detecciones de GandCrab están en fuerte descenso, todavía tenemos Sodinokibi y otras cepas de ransomware con las cuales lidiar. Dicho esto, aquí está cómo protegerte de GandCrab y otros ransomware.
- Haz copias de seguridad de tus archivos. Con copias de seguridad regulares, una infección de ransomware se vuelve una pequeña, aunque molesta, inconveniencia. Simplemente borra y restaura tu sistema y sigue con tu vida.
- Ten cuidado con los archivos adjuntos y los enlaces en los correos electrónicos. Si recibes un correo de un amigo, familiar o compañero de trabajo y suena extraño, piénsalo dos veces. Si el correo es de una empresa con la que haces negocios, intenta navegar a su página web o, si está disponible, utiliza la app.
- Parchea y actualiza regularmente. Mantener tu sistema al día impedirá que los atacantes se aprovechen de las vulnerabilidades que pueden usarse para acceder sin autorización a tu ordenador. Como recordarás, los exploits son el método principal por el cual GandCrab infecta los sistemas objetivo. Similarmente, si tienes software antiguo y desactualizado que ya no usas en tu ordenador, bórralo.
- Limita el acceso remoto. La mejor manera de protegerse contra un ataque de Protocolo de Escritorio Remoto (RDP) es limitando el acceso remoto. Pregúntate si realmente necesitas que este sistema sea accesible de forma remota. Si la respuesta es sí, al menos limita el acceso a los usuarios que realmente lo necesiten. Mejor aún, implementa una red privada virtual (VPN) para todos los usuarios remotos, lo que elimina cualquier posibilidad de un ataque RDP.
- Usa contraseñas fuertes y no reutilices contraseñas en diferentes sitios. En caso de que un sistema realmente necesite ser accesible de forma remota, asegúrate de usar una contraseña fuerte con autenticación multifactor. Está claro que recordar contraseñas únicas para todos los sitios y aplicaciones que usas es una tarea difícil si no imposible. Afortunadamente, un gestor de contraseñas puede hacerlo por ti.
- Usa software de ciberseguridad. Por ejemplo, Malwarebytes Premium para Windows bloquea troyanos, virus, descargas maliciosas, enlaces peligrosos y sitios web falsificados para que el ransomware, como GandCrab, y otras infecciones de malware nunca puedan establecerse en tu sistema.
Cómo eliminar GandCrab
Si ya has sido víctima de GandCrab, hay una buena posibilidad de que no necesites pagar el rescate. En su lugar, sigue estos pasos para eliminar GandCrab de tu PC.
- Muestra las extensiones de archivo en Windows. Por defecto, Microsoft Windows oculta las extensiones de archivo (como .exe y .doc) y necesitarás ver estas extensiones antes de poder pasar al paso dos. En resumen, abre el Explorador de Archivos, haz clic en la pestaña Ver, luego marca la casilla Extensiones de Nombre de Archivo.
- Determina la versión de GandCrab. Ahora que puedes ver las extensiones de archivo, puedes averiguar qué versión de GandCrab tienes verificando las extensiones en tus archivos encriptados.
- La versión 1 de GandCrab da la extensión .gdcb.
- Las versiones 2 y 3 de GandCrab dan la extensión .crab.
- La versión 4 de GandCrab da la extensión .krab.
- La versión 5 de GandCrab da una extensión aleatoria de 5 letras.