Cibercriminales rivales filtran las llaves para descifrar los sistemas secuestrados por el ransomware Chimera

A veces los internautas pueden quedar atrapados en medio de las peleas entre diferentes grupos de cibercriminales. Aunque esta no es una situación cómoda para los usuarios, en raras ocasiones pueden salir beneficiados por estas rivalidades.

Eso es justo lo que ocurrió esta semana cuando el autor de los programas chantajistas (ramsomware) Petya y Mischa publicó las claves para descifrar los ordenadores secuestrados por el ransomware rival Chimera.

Chimera es un programa chantajista que, como cualquier otro, cifra el contenido de los equipos infectados para obligar a sus víctimas a pagar un rescate si quieren volver a tener acceso a sus datos. Apareció en noviembre de 2015 y, con el tiempo, se convirtió en un servicio de ransomware (RaaS) que cualquier cibercriminal podía usar para ganar dinero atacando nuevas víctimas.

Los programas chantajistas Petya y Mischa fueron desarrollados por el hacker conocido en Twitter como “Janus”, quien explicó que había conseguido acceder a la infraestructura de Chimera a principios de 2016. Esto le permitió robar partes del código fuente del programa chantajista, que adaptó para incluirlas en su propia creación: el ransomware Mischa, que apareció en mayo.

Janus aprovechó el acceso al sistema rival para guardar todas las claves de cifrado que encontró de las diferentes versiones de Chimera con la intención de filtrarlas cuando llegue el momento más oportuno.

Ese momento acaba de llegar, y el hacker coordinó las filtraciones de 3.500 llaves de cifrado de tal manera que se realizaron horas después del lanzamiento de su servicio RaaS para Petya y Mischa. La información filtrada atrajo la atención hacia Janus, sus creaciones y su recién lanzado servicio RaaS.

De esta manera, el ataque tiene una triple función: arruinar el negocio de Chimera haciendo que sus víctimas ya no necesiten pagar el rescate, desprestigiar el programa entre los cibercriminales para que dejen de usarlo, y publicitar el ransomware y RaaS de Petya y Mischa. “Por desgracia, esto aumentará la distribución de estos programas chantajistas (Petya y Mischa)”, indicó Lawrence Abrams, fundador del foro de informática BleepingComputer.com.

Los investigadores de seguridad todavía están analizando las claves filtradas de Chimera para confirmar si son legítimas. “Va a tomar un tiempo revisar si las llaves son auténticas y escribir una herramienta para descifrar las claves, pero si eres víctima de Chimera por favor no elimines tos archivos cifrados, porque todavía es posible que puedas recuperar tus datos”, dijeron los investigadores de Malwarebytes.

Este es el segundo gran golpe que reciben los programas chantajistas esta semana. Hace unos días, se anunció el lanzamiento del sitio web No More Ransom, fruto de la cooperación entre Kaspersky Lab, Intel Security, la Europol y la policía holandesa. El sitio contiene herramientas e información que ayudan a los usuarios a prevenir infecciones de ransomware y combatirlo en caso de que sea necesario, incluyendo las llaves para descifrar las cepas de ransomware más comunes.

Fuentes

PC World

Ars Technica

Softpedia

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *