Consiguen revelar las claves de cifrado del ransomware Randamant

Share this…

Si tenemos que hablar de un ransomware poco afortunado este es sin lugar a dudas Randamant. Desde que apareció solo ha sufrido problemas que han impedido que los procesos de cifrado de los datos de los equipos de los usuarios lleguen a buen puerto.  Sin embargo, los problemas se repiten en la segunda versión, dejando en esta ocasión al descubierto las claves de cifrado.

Tal y como han informado los expertos en seguridad, existe un fallo de seguridad en el panel de control de la amenaza que permite inyectar código SQL en la base de datos y obtener información de forma relativamente sencilla, dejando uno de los datos más preciados para los propietarios de la amenaza y los usuarios: la clave de descifrado de los datos. Pero el problema es mucho más grave para los propietarios de la amenaza, ya que los investigadores añaden que han sido capaces de comenzar el proceso de descifrado de los datos sin que el usuario tenga que interactuar.

Es necesario remontarse hasta el mes de diciembre del pasado año par encontrar el origen de esta amenaza. Los propietarios decidieron poner el software a la venta en el mercado negro por mil dólares al mes o 100 si solo se desea una prueba de 48 horas. Al final, podría decirse que los propietarios se hicieron de oro en muy poco tiempo, porque han sido en muchas ocasiones en las que se ha visto la amenaza. Sin embargo, pronto se supo que los resultados no eran los esperados.

Before and after shot: researchers toggling the "status" state of Radamant-infected users

La primera versión de Randamant tenía un fallo en el algoritmo

Expertos en seguridad en Emisoft fueron los encargados de descubrir este fallo de seguridad, publicando una herramienta que permitía llevar a cabo la recuperación de los datos de forma sencilla. Este fallo obligó a los responsables a publicar una nueva versión que permitiese recaudar dinero gracias a los datos de los usuarios. Aunque todo parecía ir bien, tampoco ha sido una versión muy afortunada en lo referido a implementación.

La segunda posee un panel de control con una seguridad deficiente

Si la primera destacaba por un algoritmo mal implementado la segunda no mejora mucho la situación. Un fallo de seguridad detectado en el panel de control permite realizar inyecciones de código en la base de datos SQL y consultar y modificar la información. De esta forma, modificando la información sobre el pago asociada a cada equipo, los expertos han conseguido que comience el proceso de recuperación de los datos de los usuarios de forma automática.

Gracias a este fallo se ha sabido que el propietario de esta Randamant está trabajando en una nueva que es capaz de robar criptomonedas.

Fuente:https://www.redeszone.net/