Lo más frustrante para las víctimas de los crímenes cibernéticos es la poca posibilidad de que un atacante sea atrapado, sin embargo, los hackers maliciosos no siempre se salen con la suya sin recibir un castigo. Expertos en hacking ético reportan que un hacker de sombrero blanco logró vengarse del grupo cibercriminal que cifró sus archivos, hackeando sus servidores y liberando las claves de descifrado del ransomware que usaban en sus operaciones.
El incidente está relacionado con el grupo de hackers Muhstik, que emplea la variante de ransomware del mismo nombre para cifrar los archivos de sus víctimas. Acorde a los reportes, este grupo de hackers llevaba al menos un par de meses activo.
Los ataques de Mustik se enfocan principalmente contra los dispositivos de almacenamiento conectados a la red (NAS) del fabricante QNAP, con sede en Taiwán. Los operadores de la campaña realizan ataques de fuerza bruta contra los dispositivos, que usualmente usan contraseñas débiles para el servicio incorporado de phpMyAdmin, mencionan los expertos en hacking ético.
Después de acceder a phpMyAdmin, Muhstik cifra los archivos y almacena una copia de las claves de descifrado en el servidor de comando y control (C&C) de los hackers. Finalmente, a los archivos comprometidos se les agrega la extensión .muhstik, principal indicador de compromiso de esta variante de ransomware.
Tobias Frömel, un desarrollador de software originario de Alemania fue una de las tantas víctimas de Muhstik. Al no poder recuperar el acceso a sus archivos por sí mismo, el desarrollador tuvo que pagar el rescate exigido por los hackers. No obstante, Frömel no se quedó con los brazos cruzados, pues tiempo después de pagar el rescate, el experto en hacking ético comenzó a analizar la variante de malware usada por los hackers, lo que le brindó algunas pistas sobre el modo de operación de este grupo para finalmente acceder a la base de datos del servidor operado por los hackers, descubriendo más de 2 mil 800 claves para remover el cifrado de Muhstik. “Sé que esto no es precisamente legal, pero yo no soy el villano de esta historia”, mencionó el experto en su blog.
Las claves de cifrado no son el único hallazgo del experto, pues también ha revelado una herramienta para eliminar el cifrado que todas las víctimas de Muhstik pueden usar para desbloquear el acceso a sus archivos. La herramienta está disponible para su descarga en MEGA.
A través de Twitter, Frömel ha estado notificando a todas las víctimas de Muhstik posibles, tratando de evitar que paguen un rescate a los hackers. La plataforma especializada ZDNet publicó una entrevista con un colaborador de Frömel, quien afirma que el experto también descubrió información importante sobre este grupo de hackers, además, mencionó que autoridades ya han sido notificadas.
Muhstik es la tercera variante de ransomware que ataca dispositivos NAS descubierta este año, junto con la cepa conocido como eCh0raix, para la que ya existe una herramienta de descifrado disponible. Otra variante aún no identificada sigue activa.
Aunque las acciones de Frömel son consideradas ilegales, los expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que lo más probable es que las autoridades alemanas no apliquen cargos en su contra, pues su descubrimiento ayudará a miles de víctimas de este grupo de hackers. No obstante, el procedimiento recomendado es notificar a las autoridades y no tratar de hacer justicia por propia mano.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad