How can security experts unravel ransomware

• Basándose en las prácticas ilegales de los piratas informáticos, un número creciente de expertos en seguridad están trabajando con las fuerzas del orden para proporcionar herramientas de descifrado gratuitas.
• Los descifradores de ransomware desarrollan herramientas de varias maneras principales: ingeniería inversa de errores, colaboración con las fuerzas del orden y recopilación de claves de cifrado disponibles públicamente.

La era de la piratería desenfrenada

Los piratas informáticos utilizan ransomware para rastrear cada industria, cobrando tanto dinero como sea posible para acceder a los archivos de las víctimas. Es un negocio lucrativo. En los primeros seis meses de 2023, las bandas de ransomware estafaron a sus objetivos por 449 millones de dólares.
Sin embargo, cada vez más, los expertos en seguridad se asocian con las fuerzas del orden para proporcionar herramientas de descifrado gratuitas.

Lea también: ¡Los piratas informáticos nunca parecen estar satisfechos con el robo de criptomonedas!

Varias soluciones comunes

Hay varias formas principales en que los descifradores de ransomware desarrollan herramientas: ingeniería inversa de errores, colaboración con las fuerzas del orden y recopilación de claves de cifrado disponibles públicamente. La duración de este proceso depende de la complejidad del código, pero generalmente requiere información sobre el archivo cifrado, la versión no cifrada del archivo y la información del servidor proporcionada por el grupo de piratería. Ver también: La FCC respalda a los constructores de fibra con límites de permisos.

“Tener solo el archivo cifrado de salida normalmente es inútil. Necesitas la muestra en sí, el archivo ejecutable”, dijo Jakub Kroustek, jefe de investigación de malware en la empresa de antivirus Avast. No es fácil, pero cuando funciona, sí trae beneficios a las víctimas afectadas. Ver también: Ofcom expone la brecha de cobertura móvil en los trenes del Reino Unido.

Los descifradores de ransomware utilizarán sus conocimientos de ingeniería de software y criptografía para obtener las claves de ransomware y crear una herramienta de descifrado a partir de ahí, dijo Kroustek. Los procesos de cifrado más avanzados pueden requerir un descifrado por fuerza bruta o una suposición fundamentada basada en la información disponible. A veces, los piratas informáticos utilizan generadores de números pseudoaleatorios para crear claves. Un RNG verdadero sería aleatorio, pero eso significa que no es fácil de predecir. Como explica van der Wiel, un pseudo-RNG puede basarse en un patrón existente para parecer aleatorio cuando en realidad no lo es; por ejemplo, el patrón puede basarse en el momento en que se creó. Si los investigadores conocen una parte de él, pueden probar diferentes valores de tiempo hasta inferir la clave. Ver también: La UE reescribe las reglas de soberanía de la infraestructura de IA.

Pero obtener las claves a menudo requiere trabajar con las fuerzas del orden para obtener más información sobre cómo opera un grupo de piratería. Si los investigadores pudieran obtener la dirección IP del pirata informático, podrían pedir a la policía local que incautara el servidor y obtuviera un volcado de memoria del contenido del servidor. O, si los piratas informáticos utilizan servidores proxy para enmascarar su ubicación, la policía puede usar herramientas de análisis de tráfico como NetFlow para determinar a dónde va el tráfico y extraer información de él, dijo Vanderwiel. El Convenio de Budapest sobre Ciberdelincuencia hace posible la lucha contra el delito transfronterizo porque permite a la policía solicitar urgentemente imágenes de servidores en otro país mientras se espera que se tramite una solicitud oficial. Ver también: La UE expulsa a los operadores satelitales estadounidenses del espectro.

Lea también: Se recuperaron $674M en criptomonedas de los $2.6B robados

Trabajando con la ley

Trabajando con las fuerzas del orden para ayudar a Cisco Talos a crear una herramienta de descifrado para el ransomware Babuk tortilla. Esta versión de ransomware se dirige a la atención médica, la manufactura y la infraestructura nacional, cifrando los dispositivos de las víctimas y eliminando copias de seguridad valiosas. Avast ha creado un descifrador universal para Babuk, pero la cepa tortilla ha demostrado ser difícil de descifrar. La policía holandesa y Cisco Talos trabajaron juntos para arrestar a los responsables del virus y en el proceso obtuvieron el descifrador de tortilla. Ver también: La FCC exige licencias para los aterrizajes de cables submarinos en EE. UU..

En general, los expertos no pueden compartir demasiada información sobre el proceso sin dar ventaja a las bandas de ransomware. Si revelan errores comunes, los piratas informáticos pueden usarlos para mejorar fácilmente el próximo intento de ransomware. Si los investigadores cuentan en qué archivos cifrados están trabajando, la banda sabrá que les están siguiendo la pista. Pero la mejor manera de evitar lo anterior es ser proactivo. Ver también: EE. UU. cierra la laguna legal de los chips de IA en el extranjero.