El ransomware es el malware de moda. Este tipo de software malicioso es el más peligroso visto en la historia de la informática. Cuando la amenaza infecta un equipo, automáticamente empieza a cifrar todos los datos almacenados en el disco duro, secuestrándolos y pidiendo el pago de un recate a cambio de la clave privada con la que poder descifrar los datos. Debido a que los datos son lo más valioso para los usuarios y empresas (y a la mala costumbre de no hacer copias de seguridad), este tipo de malware es el más beneficios genera a los piratas informáticos hoy en día.
Actualmente existen muchas variantes de ransomware. Una de las más conocidas probablemente por la mayoría es WannaCry, el ransomware que, aprovechándose de una serie de vulnerabilidades conocidas por la CIA que se hicieran públicas, fue capaz de infectar incluso a una multinacional como Telefónica hace varios meses. Sin embargo, esta no es la única variante de este tipo de malware, y es que existen otras muchas amenazas similares, como Mamba.
Mamba es un ransomware que empezó a actuar a finales de 2016 secuestrando la red de ordenadores de la agencia de transporte municipal de San Francisco. Aunque desde entonces los piratas informáticos no mostraron mucha más actividad, en los últimos días las empresas de seguridad han podido ver de repente cómo la actividad de este ransomware ha aumentado considerablemente, y, además, ha vuelto mucho más peligroso que a finales de 2016.
Cómo funciona el ransomware Mamba
En esta ocasión, este renovado ransomware está infectando a los usuarios a través de DiskCryptor, una aplicación gratuita para cifrar discos duros en Windows. Los piratas informáticos han aprovechado esta herramienta para ocultar los módulos maliciosos dentro de la misma y, así, poder infectar a todos los usuarios que intenten descargarla de Internet.
Cuando este malware llega al ordenador de la víctima, lo primero que hace es crear en el disco duro el directorio C:xampphttp para hacerse pasar por este servidor de páginas web y, una vez creado, mueve el binario a dicho directorio. Allí instala DiskCryptor y lo registra como un servicio del sistema llamado «DefragmentService». Una vez hecho esto, reinicia a la fuerza el ordenador y da comienzo la segunda fase de la infección.
Una vez registrado como servicio del sistema, el malware tiene acceso completo al sistema operativo. A diferencia de otros ransomware, que cifran individualmente los datos de las víctimas, este ataca directamente al MBR, cifrando la tabla de particiones utilizando DiskCryptor y elimina automáticamente todo rastro para, posteriormente, reiniciar el sistema.
Una vez reiniciado el equipo, al estar cifrada la tabla de particiones, todo el disco duro quedará inaccesible, a la espera de que introduzcamos la clave de descifrado.
Por desgracia, no hay forma de recuperar los datos gratis (y aunque paguemos, las probabilidades son bastante reducidas, es posible incluso que nos quedemos sin el dinero) debido a que DiskCryptor es una de las aplicaciones más fiables para el cifrado de datos, y algoritmos realmente seguros imposibles de descifrar por fuerza bruta.
Cómo protegernos del ransomware Mamba
Por el momento, las empresas de seguridad solo han detectado un aumento de actividad en Brasil y Arabia Saudí, aunque es muy probable que en los próximos días estos piratas informáticos empiecen una campaña mucho más agresiva por otras zonas, como Europa.
Para evitar caer en manos de estos piratas informáticos, como siempre, lo que debemos hacer es tener cuidado cuando descargamos archivos de Internet y con todo lo que recibimos a través del correo electrónico. Además, es recomendable tener un software de seguridad instalado y actualizado en nuestro ordenador, así como los últimos parches de seguridad de Windows para impedir que puedan instalar este malware de forma remota utilizando vulnerabilidades.
Por último, las copias de seguridad son, al final, la mejor forma de protegernos frente al ransomware. Estas copias deben estar en un disco duro desconectado del ordenador (ya que, de lo contrario, se cifrarían igual) o en la nube.
¿Qué opinas de este ransomware que vuelve a las andadas?