Como si del anuncio de una nueva prueba nuclear o el lanzamiento de un misil balístico por parte de Corea del Norte se tratara, especialistas en ciberseguridad de Cyderes han dado a conocer que cibercriminales están probando un nuevo tipo de ransomware que tiene la capacidad de destruir los datos secuestrados.
Para quien no lo conozca, el ransomware consiste en un tipo de malware que, al actuar en un sistema informático, encripta los datos sin suministrar ninguna información sobre la clave de encriptación, dejando instrucciones a la víctima para realizar el pago de un rescate (en inglés, ransom, y de ahí el nombre de la amenaza) para que los cibercriminales le den la clave con la que poder recuperar sus datos.
Huelga decir que, muchas veces, tras el pago no se suministra una clave válida, y que los criminales exigen un nuevo pago. Y también que las autoridades policiales recomiendan siempre no abonar las cuantías exigidas.
Además, los cibercriminales consiguen muchas veces encriptar o, por lo menos, corromper, las copias de seguridad de los afectados, o bien estas no han sido suficientemente probadas ante este tipo de eventualidades, de forma que son irrecuperables, abocando a las víctimas a la disyuntiva de pagar, o perder toda la información.
Actualmente, el uso del ransomware constituye una de las principales fuentes de ingresos del cibercrimen.
Si bien en cada caso hay una pequeña luz de esperanza, como la situación que se ha dado alguna vez que un error de programación en el algoritmo de encriptación ha permitido desencriptar los datos sin tener que pagar, lo que los investigadores de Cyderes han descubierto, y de lo que se hace eco ZDNet es que por lo menos un grupo de cibercriminales -que sería el llamado BlackCat- está probando un ransomware mucho más peligroso, que destruye los datos si los afectados no pagan.
La metodología de este tipo de ataques sería distinta de la de muchos de los ataques de ransomware; en primer lugar, un malware se infiltraría en el ordenador de la víctima, realizando copias de los archivos de datos hacia un servidor remoto para, luego, destruir completamente (sobreescribiendo, por ejemplo) los ficheros de datos en el ordenador afectado.
A partir de aquí, y con las copias intactas de los datos en su poder, el grupo cibercriminal se pondría en contacto con la persona u organización afectada para exponerle las condiciones del rescate.
Sin posibilidades de recuperar los ficheros, los afectados solamente tienen la opción de recurrir a las copias de seguridad o, en caso de ser esto imposible, ceder al chantaje de los cibercriminales, o bien darlo todo por perdido. Esto último, en muchos casos, equivale a echar el cierre de un negocio.
