Un esfuerzo conjunto de autoridades y e investigadores de seguridad informática de todo el mundo ha dado lugar a la publicación de una herramienta para neutralizar los efectos de GandCrab, una de las familias de ransomware más prolíficas de la actualidad.
El equipo de expertos estuvo compuesto por representantes de la Europol, el FBI, la Policía de Rumania, la Agencia Nacional contra el Delito del Reino Unido, la Unidad Nacional contra el Crimen Tecnológico de la Policía de Holanda, la Dirección para la Investigación del Crimen Organizado y el Terrorismo de Rumania (DIICOT), así como expertos en seguridad informática de McAfee y Bitdefender.
La herramienta de descifrado se publicó en la página mundialmente reconocida Nomoreransom para ponerla al acceso del público. El desarrollo de la herramienta de descifrado no fue fácil y llevó muchos intentos: “Cada vez que publicábamos una herramienta de descifrado, los criminales de inmediato sacaban una actualización cambiando las llaves”, dijo un ejecutivo de BitDefender. Aun así, las anteriores herramientas fueron descargadas más de 400.000 veces y ayudaron a ahorrar más de 5 millones de dólares a casi 10.000 víctimas del programa malicioso.
Pero la última versión supera a sus predecesoras: “la versión que publicamos hoy puede descifrar todas las versiones de los encriptadores de GrandCrab”. Sin duda era una herramienta que la comunidad estaba esperando con ansias: en las primeras cinco horas de su publicación se registraron 100 descifrados exitosos. Pero esta cifra seguirá creciendo a medida de que la solución se popularice.
“Lo más importante es que los esfuerzos conjuntos han debilitado la postura de los operadores en el mercado y llevaron a la muerte y cierre de la operación”, dijo la Europol. “El cierre fue el resultado de un trabajo a cargo de autoridades de todo el mundo apoyadas por Bitdefender y McAfee”.
La herramienta se publicó poco después de que los desarrolladores de GandCrab anunciaran que se retirarían del negocio, ya que habían conseguido suficiente dinero con los más de 2 mil millones de dólares de pagos totales y habiendo recibido más de 150 millones de dólares cada uno. El malware funcionaba con un modelo de licencia de ransomware como servicio, que habilitaba a los distribuidores a comprar la licencia sólo en mercados negros de Internet a cambio de pagarle a los creadores un 40% de sus ganancias.
El malware operaba cifrando el acceso al contenido de computadoras para obligar a sus víctimas a que les pagaran por la clave de descifrado que les devolvería el acceso a sus equipos. Se calcula que el malware había infectado más de medio millón de equipos entre enero y diciembre de 2018.
Fuentes
Game Over for GandCrab: New free decryption tool allows victims to unlock all versions of this ransomware • ZDNet News
Nomoreransom launches fourth decryption tool to counter GrandCrab • SC Magazine UK
Release of GandCrab 5.2 Decryptor Ends a Bad Ransomware Story • Bleeping Computer
Un equipo internacional de expertos desarrolla con éxito una herramienta de descifrado del ransomware GandCrab