Cientos de cosas podrían salir mal después de que una víctima de ransomware paga el dinero que exigen los criminales. Especialistas en forense digital de la firma de seguridad Emsisoft reportan la aparición de un bug en la herramienta de descifrado del ransomware Ryuk (entregada por los criminales a las víctimas después de que pagan el rescate) que provoca fallas en el proceso de recuperación de archivos.
Según el reporte, este bug causa la recuperación incompleta de algunos tipos de archivo, derivando en la pérdida permanente de los datos cifrados, aún cuando la víctima haya pagado el rescate a los hackers.
Al parecer esto se debe a que la herramienta de descifrado trunca un byte del final de cada archivo cifrado con Ryuk. En la mayoría de los casos, este último byte sólo es relleno, pues no cuenta con ningún uso práctico; no obstante, en algunas extensiones de archivos estos bytes incluyen información vital para la integridad del archivo. En caso de que este byte sea eliminado o alterado, el archivo se dañará permanentemente, lo que impedirá que sea recuperado, mencionan los especialistas en forense digital.
En su reporte, Emsisoft menciona que: “Múltiples archivos de disco virtual, como VHD/VHDX, al igual que archivos de bases de datos, como los empleados por Oracle, almacenan información importante en el último byte, por lo que en caso de ser alterados por la herramienta de descifrado de Ryuk, su recuperación será incorrecta y no serán accesibles después del descifrado”.
Emsisoft afirma haber rastreado este error, por lo que recomienda a las víctimas del ransomware Ryuk que hayan recibido la herramienta de descifrado consultar a sus especialistas para poder corregir la falla e impedir que el último byte de sus archivos importantes se corrompa.
Por desgracia, este no es el único inconveniente que enfrentan las víctimas del ransomware. Los expertos en forense digital mencionan que, debido a que los cibercriminales eliminan la versión original de los archivos cifrados, la versión corregida de esta herramienta no será de utilidad para quienes ya hayan intentado recuperar sus archivos con la versión del descifrador que contiene el bug. La única solución posible es que las víctimas creen copias de la información cifrada para usar como respaldo en caso de que sus archivos sean destruidos. Empleando el respaldo de los archivos cifrados se podrá emplear sin mayores contratiempos la herramienta de descifrado corregida.
Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que Ruyk sigue siendo una de las variantes de ransomware más empleadas por los cibercriminales en la actualidad. Para infectar un dispositivo, normalmente los actores de amenaza recurren al uso de otras variantes de malware, como TrickBot o Emotet.
Desde su surgimiento hace un par de años, cientos, o incluso miles de compañías en todo han sido víctimas de esta infección. Ya sea que se trate de proveedores de servicios financieros, fabricantes de dispositivos tecnológicos o proveedores de software, Ryuk es igual de efectivo para infectar sus sistemas, pues recurren a la explotación de los puntos más débiles de una compañía, que usualmente son los empleados sin grandes conocimientos de ciberseguridad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
