GandCrab

El ransomware GandCrab es un tipo de malware que cifra los archivos de la víctima y exige el pago de un rescate para recuperar el acceso a sus datos. GandCrab se dirige a consumidores y empresas con ordenadores que ejecutan Microsoft Windows.

.st0{fill:#0D3ECC;} DESCARGAR MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

El 31 de mayo de 2019, los ciberdelincuentes detrás del ransomware GandCrab hicieron algo inusual dentro del mundo del malware. Anunciaron que cerraban sus operaciones y que potencialmente dejaban millones de dólares sobre la mesa.

"Todas las cosas buenas llegan a su fin", escribieron en un post autocomplaciente que apareció en un notorio foro de cibercrimen. Desde su lanzamiento en enero de 2018, los autores de GandCrab afirmaban haber ingresado más de 2.000 millones de dólares en pagos ilícitos de rescates y había llegado el momento "de una merecida jubilación."

"Hemos cobrado con éxito este dinero y lo hemos legalizado en diversas esferas de los negocios blancos, tanto en la vida real como en Internet", continuaba el post. "Hemos demostrado que haciendo maldades, la retribución no llega".

A los socios afiliados, aquellos que ayudaron a difundir el ransomware a cambio de una parte de los beneficios, se les animó a cerrar sus operaciones, mientras que a las víctimas se les dijo que pagaran ahora o perderían sus datos cifrados para siempre.

El post terminaba con un conciso agradecimiento a todos los miembros de la comunidad de afiliados por "todo el duro trabajo".

Aunque es una humilde fanfarronada entretenida, quedan varias preguntas sin respuesta. ¿Ganaron realmente los creadores de GandCrab tanto dinero como decían? ¿Quiénes son estos tipos y se están retirando realmente? Y lo que es más importante, ¿sigue siendo el ransomware GandCrab una amenaza para los consumidores?

En este artículo intentaremos responder a todas esas preguntas persistentes, proporcionar recursos para las víctimas y poner un epílogo a la historia de GandCrab.f

¿Qué es GandCrab?

Observado por primera vez en enero de 2018, el ransomware GandCrab es un tipo de malware que cifra los archivos de las víctimas y exige el pago de un rescate para recuperar el acceso a sus datos. GandCrab se dirige a consumidores y empresas con ordenadores que ejecutan Microsoft Windows.

Al sonar como una enfermedad de transmisión sexual, uno podría pensar que un nombre como "GandCrab" tiene algo que ver con la naturaleza infecciosa del ransomware y su propensión a propagarse por las redes empresariales. Sin embargo, según ZDNet, el nombre de GandCrab podría derivar de uno de sus creadores, que se hace llamar "Crab" o "Gandcrab".

GandCrab no infecta máquinas en Rusia ni en la antigua Unión Soviética, un claro indicador de que el autor o autores residen en la región. Poco más se sabe del equipo de GandCrab.

GandCrab sigue un modelo de negocio de marketing de afiliación, también conocido como ransomware como servicio (RaaS), en el que los ciberdelincuentes de bajo nivel hacen el trabajo pesado de encontrar nuevas víctimas, mientras que los autores de la amenaza tienen libertad para retocar y mejorar su creación.

Las empresas legítimas emplean modelos de afiliación todo el tiempo, sobre todo Amazon. Por ejemplo, supongamos que tienes un blog en el que haces reseñas de productos electrónicos: auriculares, smartphones, portátiles, ordenadores, etc. Cada reseña incluye un enlace único que permite a los visitantes comprar el artículo destacado en Amazon. A cambio de enviar al cliente a Amazon, te llevas un porcentaje de purchase price.

En el caso de GandCrab, los autores de la amenaza ceden su tecnología a otros ciberdelincuentes emprendedores (es decir, afiliados). A partir de ahí, depende de los afiliados encontrar nuevos clientes (es decir, víctimas). Los rescates que se pagan se reparten entre el afiliado y el equipo de GandCrab en una proporción de 60/40 o hasta 70/30 en el caso de los mejores afiliados.

El periodista especializado en ciberseguridad Brian Krebs informa de que uno de los mejores ganó 125.000 dólares en comisiones en el transcurso de un mes.

Gracias al modelo de afiliación, los delincuentes con escasos conocimientos técnicos pueden entrar en la acción del ransomware. Y si los delincuentes de bajo nivel se encargan de encontrar e infectar las máquinas, los creadores de GandCrab pueden centrarse en revisar su software, añadir nuevas funciones y mejorar su tecnología de cifrado. En total, hay cinco versiones diferentes de GandCrab.

Tras la infección, las notas de rescate se colocan de forma destacada en el ordenador de la víctima, dirigiéndola a un sitio web en el Dark Web (la parte oculta de la web que se necesita un navegador especial para ver).

Al aterrizar en la versión en inglés del sitio web, a las víctimas se les muestra el mensaje plagado de erratas "¡BIENVENIDO! LO LAMENTAMOS, PERO TODOS SUS ARCHIVOS ESTÁN INFECTADOS".

En versiones posteriores del sitio web del rescate aparece el Sr. Cangrejo de la serie infantil de dibujos animados "Bob Esponja Pantalones Cuadrados". Al parecer, a los ciberdelincuentes no les preocupan demasiado las violaciones de los derechos de autor.

Para disipar cualquier temor a pagar el rescate, GandCrab permite a las víctimas descifrar un archivo de su elección de forma gratuita.

Los pagos de GandCrab se realizan a través de una oscura criptomoneda llamada Dash, valoradapor los ciberdelincuentes por su extrema atención a la privacidad. Las peticiones de rescate las fija el afiliado, pero suelen oscilar entre 600 y 600.000 dólares. Tras el pago, las víctimas pueden descargar inmediatamente el descifrador GandCrab y recuperar el acceso a sus archivos.

Si las víctimas tienen algún problema con el pago del rescate o la descarga de la herramienta de descifrado, GandCrab ofrece asistencia por chat en línea "gratuita" las 24 horas del día, los 7 días de la semana.

"GandCrab sigue un modelo de negocio de marketing de afiliación, también conocido como Ransomware-as-a-Service (RaaS), en el que los ciberdelincuentes de bajo nivel hacen el trabajo pesado de encontrar nuevas víctimas mientras que los autores de la amenaza tienen libertad para juguetear y mejorar su creación."

¿Cuál es la historia de GandCrab?

Sería un error pensar que el ransomware es un invento reciente. De hecho, todas las formas de ransomware, GandCrab incluido, han seguido una plantilla básica establecida hace treinta años por una forma temprana de virus informático.

El primer proto-ransomware llegó en 1989, literalmente, a los buzones de las víctimas. Conocido como el virus informático del sida, se propagó a través de un disquete de 5,25" enviado a las víctimas por correo postal. El disco llevaba la etiqueta "Información sobre el sida" e incluía una breve encuesta diseñada para medir el riesgo de una persona de contraer el virus del sida (el biológico).

Al cargar la encuesta se iniciaba el virus, que permanecía latente durante los 89 arranques siguientes. Al iniciar el ordenador por nonagésima vez, las víctimas se encontraban con una notificación en pantalla que solicitaba el pago de "su alquiler de software". Si las víctimas intentaban acceder a sus archivos, descubrían que todos sus nombres habían sido descifrados.

Los pagos del rescate debían enviarse a un apartado de correos en Panamá y, a cambio, las víctimas recibían un "paquete de software de renovación" que revertiría el cuasi-cifrado.

El método de funcionamiento de GandCrab y otras amenazas modernas de ransomware permanece relativamente inalterado desde los tiempos del virus informático del sida. La única diferencia es que hoy en día los ciberdelincuentes disponen de un amplio arsenal de tecnologías advanced para atacar, infectar y victimizar a los consumidores.

Cuando se observó por primera vez en enero de 2018, GandCrab se propagó a través de anuncios maliciosos (también conocidos como malvertising) y ventanas emergentes falsas servidas por sitios web comprometidos. Al aterrizar en un sitio malicioso, las víctimas recibían una alerta en pantalla que les pedía que descargaran una fuente que faltaba. Al hacerlo, se instalaba el ransomware.

Al mismo tiempo que la campaña de infección de fuentes, GandCrab también se propagó a través de archivos adjuntos de correo electrónico cargados de malware (también conocido como malspam) enviados desde una red de ordenadores pirateados (las redes de ordenadores pirateados también se utilizan para ataques DDoS ). En un ejemplo de libro de texto de engaño de ingeniería social, estos correos electrónicos presentaban la línea de asunto "Factura impagada #XXX". Motivadas por el miedo, la curiosidad o la codicia, las víctimas abrían el correo electrónico y la "factura" adjunta cargada de malware.

Sin embargo, durante la mayor parte de su corto pero destructivo recorrido, GandCrab suele propagarse de un ordenador a otro a través de algo conocido como exploit kit. Los exploits son una forma de ciberataque que aprovecha las debilidades o vulnerabilidades de un sistema objetivo para obtener acceso no autorizado a dicho sistema. Un exploit kit es un paquete plug-and-play de varias tecnologías diseñadas para aprovechar uno o más exploits.

El equipo de Malwarebytes Labs informó sobre al menos cuatro kits de exploits diferentes utilizados para propagar GandCrab, sobre los que puedes leer:

En febrero de 2018, un mes después de que GandCrab fuera visto por primera vez en la naturaleza, la empresa de ciberseguridad Bitdefender lanzó una herramienta gratuita de descifrado de GandCrab. Esto llevó a los autores de GandCrab a lanzar una nueva versión de su ransomware con una nueva tecnología de cifrado. Actualmente, la última versión de la herramienta de descifrado funciona con las versiones 1, 4, 5.01 y 5.2 de GandCrab. A día de hoy, no hay ninguna herramienta de descifrado gratuita disponible para las versiones 2 y 3 de GandCrab.

En octubre de 2018, una víctima de la Guerra Civil Siria llamó a los creadores de GandCrab "desalmados" por cifrar las fotos de sus hijos muertos. En respuesta, el equipo de GandCrab liberó la clave de descifrado para las víctimas de GandCrab ubicadas en Siria y añadió este país a la lista de países no afectados por el ransomware GandCrab.

En enero de 2019, los afiliados fueron vistos por primera vez usando lo que se conoce como un ataque de protocolo de escritorio remoto (RDP). Con este tipo de ataque, los autores exploran una red determinada en busca de sistemas configurados para el acceso remoto; es decir, un sistema en el que un usuario o administrador puede iniciar sesión y controlarlo desde otra ubicación. Una vez que los atacantes encuentran un sistema configurado para el acceso remoto, intentarán adivinar las credenciales de inicio de sesión utilizando una lista de nombres de usuario y contraseñas comunes (también conocido como ataque de fuerza bruta o ataque de diccionario).

Al mismo tiempo, los afiliados de GandCrab aprovecharon una larga y grave temporada de gripe (21 semanas) para propagar el ransomware a través de correos electrónicos de phishing supuestamente procedentes de los Centros para el Control y la Prevención de Enfermedades (CDC), con el asunto "Advertencia de pandemia de gripe". Al abrir el documento de Word adjunto, cargado de malware, se iniciaba la infección del ransomware.

cdc phishing email

Gracias a su ejército de afiliados, su diversa metodología de ataque y sus revisiones periódicas de código, GandCrab se convirtió rápidamente en la detección de ransomware más común entre los objetivos de empresas y consumidores en 2018, según se recoge en elinforme Malwarebytes Labs State of Malware.

A pesar de su éxito, o tal vez debido a él, GandCrab se dio por vencido en mayo de 2019, un año y medio después de su lanzamiento. Los investigadores de ciberseguridad han lanzado varias teorías sobre el motivo.

GandCrab no tuvo tanto éxito como sus creadores pretendían. No sabemos realmente cuánto dinero ganó el equipo de GandCrab. Su afirmación de 2.000 millones de dólares en ganancias puede estar inflada y he aquí por qué: Los investigadores de ciberseguridad desarrollaron herramientas gratuitas de descifrado de GandCrab para versiones anteriores del ransomware. Apenas dos semanas después de que el equipo de GandCrab anunciara que se retiraba, los investigadores de Bitdefender publicaron una herramienta de descifrado final capaz de descifrar la última versión de GandCrab. Con un mayor conocimiento público de las herramientas de descifrado gratuitas, cada vez más víctimas potenciales evitan pagar cualquier posible rescate.

La banda de GandCrab seguirá creando ransomware u otro malware con otro nombre. Al anunciar el cese de sus operaciones, GandCrab queda libre para atormentar al mundo con nuevas y retorcidas amenazas, al margen de la vigilancia de los investigadores de ciberseguridad y las fuerzas del orden. Efectivamente, los investigadores de ciberseguridad de Malwarebytes informaron sobre una nueva cepa de ransomware que se parecía mucho a GandCrab.

Conocido como Sodinokibi (alias Sodin, alias REvil), este ransomware se detectó en la naturaleza casi dos meses después de que GandCrab lo dejara y los investigadores lo compararon inmediatamente con el extinto ransomware. Por el momento, no hay nada que implique al equipo de GandCrab como los malos detrás de Sodinokibi, pero es una apuesta segura.

Para empezar, Sodinokibi sigue el mismo modelo de ransomware como servicio: el equipo de GandCrab posee y mantiene el software, permitiendo que cualquier ciberdelincuente lo utilice a cambio de una parte de los beneficios.

Sodinokibi sigue el mismo proceso iterativo de actualización que GandCrab. Hasta la fecha, ha habido seis versiones de Sodinokibi.

Sodinokibi emplea algunos de los mismos vectores de infección, es decir, kits de exploits y adjuntos de correo electrónico maliciosos. Sin embargo, en un nuevo giro, los delincuentes detrás de Sodinokibi han comenzado a utilizar proveedores de servicios gestionados (MSP) para propagar infecciones. En agosto de 2019, cientos de consultorios dentales de todo el país descubrieron que ya no podían acceder a los registros de sus pacientes. Los atacantes utilizaron un MSP comprometido, en este caso una empresa de software de registros médicos, para desplegar el ransomware Sodinokibi a través de los consultorios dentales que utilizan el software de mantenimiento de registros.

Por último, la nota de rescate y el sitio de pago de Sodinokibi guardan más de un parecido con los de GandCrab.

Cómo protegerse de GandCrab

Aunque el equipo de Malwarebytes Data Sciences informa de que las detecciones de GandCrab han disminuido considerablemente, todavía tenemos que hacer frente a Sodinokibi y otras cepas de ransomware. Dicho esto, aquí tienes cómo protegerte de GandCrab y otros ransomware.

  • Haz copias de seguridad de tus archivos. Con copias de seguridad periódicas, una infección por ransomware se convierte en un pequeño, aunque molesto, inconveniente. Simplemente borra y restaura tu sistema y sigue con tu vida.
  • Desconfíe de los adjuntos y enlaces de los correos electrónicos. Si recibes un correo electrónico de un amigo, familiar o compañero de trabajo y te suena raro, piénsatelo dos veces. Si el correo electrónico es de una empresa con la que haces negocios, intenta navegar a la página web de la empresa o, si está disponible, utiliza la aplicación.
  • Parchee y actualice con regularidad. Mantener su sistema actualizado evitará que los atacantes se aprovechen de los exploits que pueden utilizarse para obtener acceso no autorizado a su ordenador. Los exploits, como recordará, son el principal método por el que GandCrab infecta los sistemas objetivo. Del mismo modo, si tiene software antiguo y obsoleto en su ordenador que ya no utiliza, bórrelo.
  • Limite el acceso remoto. La mejor manera de protegerse contra un ataque de Protocolo de Escritorio Remoto (RDP) es limitar el acceso remoto. Pregúntese, ¿realmente es necesario acceder a este sistema de forma remota? Si la respuesta es afirmativa, al menos limite el acceso a los usuarios que realmente lo necesitan. Mejor aún, implemente una red privada virtual (VPN ) para todos los usuarios remotos, al hacerlo se anula cualquier posibilidad de un ataque RDP.
  • Utiliza contraseñas seguras y no las reutilices en distintos sitios. En caso de que sea absolutamente necesario acceder a un sistema de forma remota, asegúrese de utilizar una contraseña segura con autenticación multifactor. Por supuesto, recordar contraseñas únicas para todos los sitios y aplicaciones que utilizas es una tarea difícil, si no imposible. Afortunadamente, un gestor de contraseñas puede hacerlo por ti.

Cómo eliminar GandCrab

Si ya ha sido víctima de GandCrab, es muy probable que no tenga que pagar el rescate. En su lugar, siga estos pasos para eliminar GandCrab de su PC.

  1. Muestra las extensiones de archivo en Windows. Por defecto, Microsoft Windows oculta las extensiones de archivo (como .exe y .doc) y necesitarás ver estas extensiones antes de poder pasar al segundo paso. En resumen, abre el Explorador de archivos, haz clic en la pestaña Ver y, a continuación, marca la casilla Extensiones de nombre de archivo.
  2. Determine la versión de GandCrab. Ahora que puede ver las extensiones de archivo, puede averiguar qué versión de GandCrab tiene verificando las extensiones de sus archivos cifrados.
    • La versión 1 de GandCrab tiene la extensión .gdcb.
    • Las versiones 2 y 3 de GandCrab tienen la extensión .crab.
    • GandCrab versión 4 da la extensión .krab.
    • GandCrab versión 5 da una extensión aleatoria de 5 letras.
  • Descarga el desencriptador. Como se mencionó anteriormente en este artículo, existe un descifrador gratuito para las versiones 1, 4, 5.01 y 5.2 de GandCrab. Si las extensiones de tus archivos coinciden con estas versiones, todo está bien. Desafortunadamente, no hay ninguna herramienta de descifrado gratuita disponible para las versiones 2 y 3 de GandCrab.
  • No pague el rescate. Si ha sido infectado por la versión 2 o 3 de GandCrab, puede tener la tentación de pagar el rescate, pero no lo haga. Suponiendo que los servidores de GandCrab sigan operativos, el FBI, Europol e INTERPOL recomiendan no pagar el rescate. No hay ninguna garantía de que recupere sus archivos y hacerlo le convierte en un blanco fácil para futuros ataques de ransomware.