• Un ransomware llamado STOP Djvu tiene más actividad que los programas de ciberataque más conocidos. El motivo es que sus víctimas son usuarios particulares.
  • Una mafia de ciberdelincuentes se ha aprovechado de la potencial base de víctimas de este ransomware para distribuir una suerte de antivirus por la red.
  • Pero esta herramienta, que promete descifrar los archivos infectados, es en realidad un segundo ataque que encripta lo ya encriptado para pedir un nuevo rescate.
  • Así están sofisticando sus ataques las mafias que operan los ransomware cuya popularidad sigue en aumento.

Los ransomware son un tipo de ciberataques cuya popularidad ha ido en aumento en los últimos años. La premisa es sencilla: cuando una computadora se infecta, el ransomware encripta todos sus archivos. Si el usuario quiere desencriptarlos, debe pagar un rescate.

WannaCry o Emotet son dos de ransomware  que han cobrado gran relevancia en los últimos años. Cada uno de estos programas maliciosos está operado por auténticas mafias de ciberdelincuentes. Y hay una, en concreto, cuya actividad es imparable: su nombre es STOP Djvu.

Nadie ha oído hablar mucho de STOP Djvu porque su objetivo no son las grandes compañías, sino las computadoras domésticas. Los operadores de STOP Djvu piden una media de 500 dólares para que los usuarios puedan descifrar la información de sus sistemas informáticos, reporta el sitio especializado Bleeping Computer.

El problema es que un usuario doméstico está mucho más expuesto a una ciberamenaza que una organización. Mientras que en las grandes empresas hay expertos en tecnologías de la información que tratarán de mitigar estos ataques, un internauta de a pie podría tratar de resolver el problema por sí mismo. Y empeorarlo todo.

Bleeping Computer reporta que otra mafia que opera ransomware —su nombre es Zorab— está distribuyendo por la red un programa para ayudar a las víctimas de STOP Djvu a desencriptar sus archivos.

¿El problema? Que no es ningún ‘antídoto’. Se trata de otro ransomware que al activarse encriptará sobre lo encriptado, por lo que en este punto los usuarios se verán obligados a pagar dos rescates en lugar de uno.

Un ransomware con más actividad que la de los grandes operadores que atacan a empresas

Lawrence Abrams, editor de Bleeping Computer, cuenta que el ransomware STOP Djvu infecta diariamente a más dispositivos que los programas maliciosos Maze, REvil, Netwalker o DoppelPaymer. Por lo que, de partida, el número de potenciales víctimas de Zorab es infinitamente mayor.

Zorab encripta todos los ficheros —que ya estaban previamente encriptados por STOP Djvu— bajo la extensión .ZRB. Bleeping Computer apunta que se trata de un nuevo tipo de ransomware. En la nota de rescate que dejan los operadores del programa se advierte, irónicamente, que sus víctimas no deben tratar de descifrar los ficheros con herramientas de terceros.

Pero los expertos recuerdan insistentemente que bajo ningún concepto hay que pagar el rescate de estas mafias. 

Pagar no es garantía de nada. Cuando pagas a una mafia que opera un ransomware, esta se compromete a enviar por correo un programa que será capaz de desencriptar los ficheros afectados. El problema es, como ya avanzaron varios medios el pasado mes de diciembre, cómo muchos de estos antídotos están plagados de bugs.

Fue el caso de Ryuk, precisamente el ransomware de la familia Emotet que afectó a finales del año pasado a la consultora Everis y a grupo PRISA, en España. El antivirus que distribuyeron los hackers estaba repleto de bugs, que en muchos casos ocasionó la pérdida de información.

Nueva vuelta de tuerca al modus operandi del ransomware

Este modus operandi, el de atacar sobre víctimas ya atacadas, es una nueva vuelta de tuerca en el mundo del ransomware.

A finales del año pasado varios expertos advertían a Business Insider España de que la tendencia remarcaba cómo muchas de estas mafias elevarían el nivel de amenaza y extorsión sobre sus víctimas.

Es el caso EDP, la empresa eléctrica portuguesa, para la que sus ciberatacantes exigieron el pago de un rescate de hasta 10 millones de euros bajo la amenaza de que, de lo contrario, comenzarían a liberar información sensible robada durante el ataque.

Los ciberdelincuentes cumplieron su particular promesa, y al cabo de días comenzaron a liberar ficheros relacionados con clientes y trabajadores de la compañía.

Por si fuera poco, Bleeping Computer informaba también días atrás de cómo los principales operadores de ransomware se están aliando para formar un «cártel» de extorsión: los ciberdelincuentes del ransomware LockBit ahora también colgarán los archivos robados de todas las víctimas que no paguen sus rescates en la web de otra mafia, Maze.

AHORA LEE: La ciberseguridad en México debe ser un tema transversal en las empresas — quien no lo considere así, terminará pagando las consecuencias, señalan expertos

TAMBIÉN LEE: Más personas están viendo pornografía en sus dispositivos de trabajo, y eso es un problema de ciberseguridad para los empleadores

Descubre más historias en Business Insider México

Síguenos en FacebookInstagram y Twitter.