El ransomware se ha convertido en una amenaza muy temida y en crecimiento, tanto en impacto como en número de ataques, favorecido además, desde hace poco tiempo, por la inteligencia artificial que ya es un facilitador para actores novatos u oportunistas, tentados por un “negocio muy rentable”.
Si bien las cifras varían de un análisis a otro, los indicadores concluyen que los ataques de ransomware han crecido notablemente en 2023, con estimaciones que van desde un incremento del 40% hasta el 70% a nivel mundial y también se ha registrado un aumento en el número de grupos de ransomware activos.
Frente a este panorama, la firma CyberArk Labs ha lanzado una versión web y gratuita de su herramienta White Phoenix, que permite recuperar archivos cifrados intermitentemente. Es decir, cuando el software encripta algunas secciones de los archivos pero no en su totalidad, lo que de todos modos bloquea el contenido pero a los delincuentes les toma casi la mitad del tiempo que el cifrado completo, maximiza el daño y evade la detección.
La herramienta White Phoenix original es un script Python, de código abierto y disponible en GitHub que ya se ha probado en BlackCat/ALPHV Ransomware, Play Ransomware, Qilin/Agenda Ransomware, BianLian Ransomware y DarkBit, de acuerdo a Help Net Security.
Ahora, en una versión más accesible y desde la web, no serán necesarios conocimientos de código para recuperar los archivos. Sólo hay que cargar en una ventana del navegador lo que se quiera recuperar, White Phoenix lo procesará extrayendo los datos disponibles y luego los devolverá en formato docx o zip, listos para descargar.
Sus desarrolladores aseguran que puede restaurar hasta el 50% del contenido del archivo, según el tipo y tamaño que posea, y el método de cifrado utilizado por el ransomware.
Los tipos de archivos compatibles son PDF, Word, Excel, PowerPoint y Zip, de hasta 10MB. Los investigadores encontraron que los archivos de mayor tamaño tienden a tener secciones más recuperables. En el caso de documentos que superen los 10MB, será necesario utilizar la versión de GitHub.
Si lo que se intenta restablecer son imágenes en archivos PDF, puede que no se obtengan los mejores resultados. Por eso, se recomienda seleccionar la opción “Archivos separados” antes de iniciar este proceso de recuperación.
Por otro lado, si la información que se desea recuperar es confidencial, es preferible utilizar la versión de GitHub por motivos de seguridad.
Siempre es preferible prevenir
Si bien los expertos celebran la difusión de herramientas de recuperación para mitigar este flagelo digital, que puede permitir el restablecimiento de archivos sin pagar cifras siderales a los ciberdelincuentes, y, en este caso, sin conocimientos específicos, siempre sostienen que la mejor opción ante el ransomware es evitar por completo las infecciones.
“La recuperación de un ataque de ransomware, incluso cuando se tiene la clave de descifrado, puede ser un proceso largo y lento, lo que provoca una gran interrupción del negocio. Por lo tanto, las empresas deben asegurarse de contar con sólidas medidas de protección y detección, como una protección eficaz de los endpoints, un sólido filtrado de correo electrónico y web para detectar contenido malicioso, programas maduros de concienciación sobre seguridad, copias de seguridad inmutables y una supervisión constante de la actividad sospechosa. Las empresas también deben estar preparadas para la forma en que reaccionan a un ataque de ransomware al contar con planes efectivos de respuesta a incidentes que se prueban regularmente”, señaló Brian Honan, CEO de BH Consulting, en diálogo con Help Net Security.
En cuanto a las acciones cotidianas, para evitar errores humanos, es importante recordar:
- Evitar fuentes de descarga de software sospechosas.
- Tener extremo cuidado con los mensajes de correo electrónico y los enlaces que incluyen.
- No ejecutar aplicaciones de fuentes desconocidas.
- Aplicar cifrado de disco, en especial para datos confidenciales.