La ciberseguridad nunca ha sido tan crucial como en la era digital actual. Con la aparición constante de nuevas amenazas, es esencial que los directores, gerentes de IT y CTO estén informados y preparados. Una de las amenazas emergentes es el ransomware Crosslock, un nuevo malware basado en Golang que está tomando protagonismo en el horizonte digital.
¿Qué es el Ransomware Crosslock y cómo funciona?
Los ciberdelincuentes están demostrando un creciente interés en el uso del lenguaje de programación Go. Esta tendencia puede estar vinculada a las ventajas multiplataforma de Go y a la complejidad que supone para los esfuerzos de descompilación. Como resultado, se ha detectado que varios softwares malintencionados, incluidos algunos ransomwares, han sido desarrollados en Go.
El ransomware CrossLock utiliza una estrategia de extorsión doble, buscando incrementar las posibilidades de que las víctimas accedan a sus demandas de pago. Este método no solo cifra la información del afectado, sino que también extrae esos datos del dispositivo comprometido. Posteriormente, los criminales amenazan con publicar o comercializar la información sustraída en la web oscura si no se realiza el pago exigido para recuperar la información. Esta táctica intensifica la urgencia de las víctimas por abonar el rescate, enfrentándolas no solo a la pérdida de sus datos, sino también al peligro de divulgación o robo de la información, generando repercusiones adicionales.
Conoce más sobre: Ataque de Ransomware con Doble Extorsión
Registro de Eventos Eludido
El Registro de Eventos para Windows (ETW, por sus siglas en inglés) es una función inherente a los sistemas operativos Windows que facilita a los programadores registrar y examinar eventos tanto del sistema como de las aplicaciones. Esta funcionalidad proporciona un proceso uniforme para registrar eventos en diferentes componentes del sistema, incluyendo el núcleo, los controladores de dispositivos y las propias aplicaciones. ETW se presenta como una herramienta esencial para optimizar el rendimiento, diagnosticar inconvenientes y supervisar las operaciones del sistema.
Sin embargo, este mecanismo no está exento de riesgos. Los actores malintencionados, incluyendo a aquellos detrás de ransomwares, han encontrado formas de manipular ETW para evadir la detección y camuflar sus movimientos. Eludir el Registro de Eventos es una táctica frecuente que se aprovecha de fallos en la estructura de ETW, logrando que las actividades maliciosas pasen inadvertidas para los sistemas de seguridad.
Proceso de Limpieza
Tras modificar ETW, el ransomware ejecuta una serie de operaciones en el sistema comprometido a través de distintas líneas de comando. Estas operaciones abarcan la eliminación de instantáneas, el borrado de registros de eventos de aplicaciones, la supresión del catálogo de respaldos, la deshabilitación de la función de recuperación automática al inicio, la erradicación del respaldo más antiguo del estado del sistema, la eliminación de registros de eventos de seguridad y otros procedimientos adicionales.
Te podrá interesar: Detección de Ataques de Ransomware con Wazuh
Suspensión de Servicios
El ransomware CrossLock ha sido diseñado con la capacidad de interrumpir más de 500 servicios que podrían estar en funcionamiento en el dispositivo del afectado previamente al inicio del proceso de cifrado. Tras interrumpir los servicios, el software malicioso se encarga de reconocer las unidades del sistema. Posteriormente, deposita una nota de rescate llamada “—CrossLock_readme_To_Decrypt—.txt” en diversas carpetas.
Luego de liberar la nota de rescate, el software malintencionado emplea las funciones API FindFirstFileW() y FindNextFileW() para listar e identificar archivos y directorios, seleccionando aquellos archivos destinados al cifrado.
Proceso de Cifrado
CrossLock, el ransomware en cuestión, utiliza una fusión de algoritmos "Curve25519" y "ChaCha20" en su procedimiento de cifrado para encriptar los archivos del dispositivo afectado. Después, el software malicioso aplica la función API MoveFileExW() para sustituir los archivos originales por su versión cifrada, que es renombrada añadiéndole la extensión “.crlk”.
La nota de rescate que el ransomware deposita proporciona a las víctimas las instrucciones necesarias para establecer contacto con los actores de amenazas y recuperar sus datos encriptados.
Estos actores de amenazas lanzan una alerta a quienes han afectado, declarando que su red ha sido vulnerada. Argumentan que información de gran relevancia, como documentos, bases de datos y detalles de clientes, no solo ha sido cifrada sino también trasladada a sus servidores. Para recuperar sus datos y prevenir la exposición de dicha información delicada, las víctimas se ven obligadas a adquirir la herramienta de descifrado.
Conoce más sobre: Evita el Pago de Ransomware: Riesgos del Rescate
Consecuencias del ransomware CrossLock
- Desaparición de información crucial.
- Daño a la reputación y credibilidad de la entidad.
- Exposición de datos comerciales confidenciales de la empresa.
- Alteración en las operaciones diarias de la organización.
- Impacto económico negativo.
Recomendaciones
A continuación te dejamos una serie de prácticas fundamentales en ciberseguridad que consideramos forman el primer escudo contra amenazas cibernéticas. Conoce algunas acciones recomendadas:
Prevención de ataques de ransomware
- Establece rutinas regulares de copias de seguridad y conserva dichos respaldos desconectados o en una red distinta.
- Habilita las actualizaciones automáticas en tus dispositivos, ya sean ordenadores, móviles u otros, siempre que resulte factible.
- Opta por soluciones antivirus y de protección en línea de reconocida calidad para tus dispositivos, ya sean ordenadores, laptops o móviles.
- Evita abrir enlaces y descargas de correos electrónicos no solicitados o de fuentes no confiables. Asegúrate siempre de tu legitimidad antes de proceder.
Pasos a seguir tras un incidente con ransomware:
1. Aísla los equipos comprometidos dentro de su red.
2. Desconecta cualquier dispositivo de almacenamiento externo que esté conectado.
3. Revisa los registros del sistema en busca de actividades irregulares o señales de compromiso.
En conclusión, CrossLock es un ransomware recién identificado que se centra en atacar a empresas y solicita un considerable rescate. Más allá de cifrar los archivos del afectado, estos ciberdelincuentes emplean tácticas de doble coacción al sustraer información sensible y luego amenazar con revelarla en su portal de filtraciones en la red Tor si no se realiza el pago.
Los Actores de Amenazas (TA) han desarrollado el ransomware utilizando Go, un lenguaje de programación con múltiples ventajas. Una de ellas es la habilidad de compilar un código único que sea compatible con diversos sistemas operativos. Es especialmente preocupante la forma en que CrossLock se vale de técnicas para esquivar el seguimiento de eventos (ETW). Esta característica podría permitir que el software malicioso pase inadvertido para sistemas de seguridad que se basan en registros de eventos. Además, el ransomware CrossLock implementa una serie de acciones para minimizar la posibilidad de recuperación de la información y maximizar el impacto del ataque.
