Adver
Adver es un tipo de ransomware diseñado para cifrar archivos en los sistemas de las víctimas, añadiendo la extensión ".adver" a los archivos afectados. Una vez que el ransomware toma control, los archivos no pueden abrirse sin el uso de una herramienta de descifrado proporcionada por los atacantes. Los ciberdelincuentes dejan una nota de rescate llamada "RECOVERY INFORMATION.txt", en la que informan a la víctima sobre la cifrado de sus archivos y detallan las instrucciones para obtener el descifrado, que normalmente incluyen un pago en criptomonedas y el envío de un ID personal para comenzar la recuperación.
La propagación de Adver generalmente ocurre a través de canales como correos electrónicos maliciosos con archivos adjuntos infectados, sitios web de torrents, anuncios maliciosos, y también mediante el uso de software pirata o herramientas de cracking. Los atacantes a menudo ofrecen una prueba gratuita del descifrado de algunos archivos, aunque no garantizan la entrega del software completo después del pago. Esto pone en evidencia la naturaleza de extorsión de este ransomware, que busca presionar a las víctimas a pagar sin una certeza de que recuperarán sus datos.
Para evitar caer víctima de Adver, es crucial mantener actualizados los sistemas operativos y software, evitar descargar archivos de fuentes no confiables, y asegurarse de tener un software de seguridad robusto que pueda detectar y bloquear este tipo de amenazas. Además, realizar copias de seguridad periódicas de los archivos es una de las mejores defensas contra el daño irreversible causado por el ransomware.
Funcionamiento
Adver es un ransomware que se infiltra en el sistema de la víctima con el objetivo de cifrar los archivos personales de la misma, haciéndolos inaccesibles sin una clave de descifrado proporcionada por los atacantes. Su funcionamiento comienza con la ejecución del malware, que se distribuye comúnmente a través de correos electrónicos maliciosos que contienen archivos adjuntos infectados, tales como macros en documentos de Microsoft Office, o a través de sitios web comprometidos, anuncios maliciosos o el uso de software pirata. Una vez que la víctima ejecuta el archivo malicioso, Adver comienza su proceso de cifrado.
En su fase inicial, Adver realiza una comprobación de seguridad para verificar si el sistema comprometido tiene algún software de seguridad que pueda detectar su actividad. Si el malware detecta la presencia de soluciones antivirus o antimalware activas, puede tratar de eludir la detección mediante técnicas de evasión como la ofuscación del código, el uso de técnicas de encriptación para ocultar su presencia o la modificación del comportamiento del ransomware para evitar su detección inmediata.
Una vez que el malware ha confirmado que el entorno es adecuado para su ejecución, procede al cifrado de archivos. Adver utiliza algoritmos de cifrado simétrico, como AES o RSA, para encriptar los archivos en el sistema. Durante el proceso de cifrado, Adver agrega la extensión ".adver" a los archivos, lo que impide que los usuarios puedan abrirlos de manera normal. Por ejemplo, un archivo llamado "documento.docx" se renombraría como "documento.docx.adver". Este cambio de extensión es el indicativo de que los archivos han sido cifrados y ya no se pueden acceder sin la clave de descifrado correspondiente.
Además del cifrado de archivos, Adver también crea una nota de rescate, denominada "RECOVERY INFORMATION.txt", que se coloca en la pantalla del escritorio de la víctima y en las carpetas que contienen los archivos cifrados. Esta nota incluye las instrucciones sobre cómo proceder para obtener el descifrado, generalmente mediante el pago de un rescate en criptomonedas, como Bitcoin. Los atacantes también piden a las víctimas que proporcionen una "ID personal", la cual es generada por el malware y debe ser enviada a una dirección de correo electrónico específica proporcionada en la nota de rescate (adver@mailum.com).
Es importante destacar que, como la mayoría de los ransomware, Adver no proporciona una forma sencilla o confiable para que las víctimas descifren sus archivos sin la intervención de los atacantes. A menudo, el ransomware se asocia con más malware, como troyanos de robo de contraseñas u otros componentes maliciosos que pueden robar información confidencial mientras el sistema permanece infectado. Este aspecto multiplica el riesgo para la víctima, ya que no solo se enfrentan a la pérdida de archivos, sino también a la posible exposición de datos sensibles.
Una vez que los archivos están cifrados, Adver intenta propagarse por la red local del sistema infectado, buscando otros dispositivos vulnerables para cifrarlos también. Esto se lleva a cabo mediante técnicas de propagación como la explotación de vulnerabilidades en sistemas operativos o software desactualizado, o incluso a través de unidades USB infectadas.
Para mitigar el impacto de Adver, se recomienda no ceder ante las demandas de los atacantes, ya que no existe garantía alguna de que los archivos se descifren después de pagar el rescate. La recuperación de los archivos puede ser posible si la víctima tiene copias de seguridad previas o si existen herramientas de descifrado de terceros disponibles. En cuanto a la eliminación del malware, es esencial contar con un software antivirus o antimalware actualizado para detectar y erradicar las infecciones.
Impacto y consecuencias
El impacto y las consecuencias del ransomware Adver son devastadoras para los sistemas comprometidos, tanto en términos de pérdida de datos como de la exposición a riesgos adicionales derivados de la propagación de malware secundario. El ransomware se especializa en cifrar los archivos de la víctima, dejando los datos inaccesibles hasta que se pague un rescate, lo que puede provocar una disrupción significativa en el funcionamiento normal de un sistema o de una red. A continuación, se describen en detalle los efectos más relevantes que tiene Adver sobre los sistemas afectados.
1. Cifrado de Archivos:
El impacto más inmediato de Adver es el cifrado de los archivos en el sistema infectado. Una vez que el malware se ejecuta, comienza a cifrar los archivos de usuario, como documentos, imágenes, videos y otros tipos de datos críticos. La extensión de los archivos cifrados se cambia a ".adver", lo que impide que los usuarios puedan abrir los archivos de manera habitual. Este cifrado se realiza con algoritmos robustos como AES o RSA, lo que dificulta enormemente la posibilidad de recuperación de los archivos sin la clave de descifrado adecuada. La víctima no puede acceder a sus datos y se ve obligada a contactar con los atacantes para obtener el descifrado, generalmente bajo la amenaza de perder permanentemente los datos si no se paga el rescate.
2. Pérdida de Productividad y Funcionamiento:
El cifrado de archivos vitales provoca una parada inmediata en las actividades de la víctima, afectando su productividad. En entornos corporativos, donde los datos cifrados pueden incluir documentos de trabajo, informes, bases de datos o información confidencial, el impacto puede ser devastador. Las empresas pueden enfrentar un alto costo económico debido a la interrupción de las operaciones normales. En algunos casos, las víctimas pueden verse obligadas a interrumpir sus actividades comerciales o incluso a cerrar temporalmente sus operaciones, dependiendo de la naturaleza de los archivos afectados.
3. Daños Económicos y Costos de Recuperación:
Los atacantes generalmente exigen un rescate en criptomonedas como Bitcoin, lo que puede ser difícil de rastrear. Si bien algunos usuarios intentan pagar el rescate para recuperar sus archivos, no hay garantía de que los ciberdelincuentes proporcionen la herramienta de descifrado después de recibir el pago. Además del costo del rescate, las víctimas deben considerar los costos asociados con la recuperación de los datos, como la contratación de expertos en seguridad para eliminar el malware, restaurar copias de seguridad y evitar futuras infecciones. La falta de copias de seguridad o la presencia de vulnerabilidades adicionales en el sistema también puede aumentar los costos de recuperación.
4. Propagación y Exposición a Malware Adicional:
Adver no solo cifra archivos, sino que también tiene la capacidad de propagarse a través de la red local del sistema afectado. Una vez que se infiltra en un dispositivo, puede intentar buscar otras máquinas vulnerables dentro de la misma red para cifrar sus archivos. Además, el ransomware puede instalar otros tipos de malware, como troyanos de acceso remoto (RAT), que permiten a los atacantes tomar control de las máquinas infectadas. Este comportamiento incrementa la exposición de la víctima a robos de información, filtraciones de datos sensibles y otros ciberataques dirigidos. En algunos casos, Adver puede permitir que los atacantes exfiltren información confidencial antes de que los archivos sean cifrados, lo que podría dar lugar a un robo de datos o a una violación de la privacidad.
5. Pérdida de Confianza y Daño a la Reputación:
Para las organizaciones, la infección por ransomware Adver puede resultar en una pérdida significativa de confianza tanto de los empleados como de los clientes. Si los datos confidenciales son comprometidos, las empresas pueden enfrentar la desconfianza de sus clientes y la pérdida de relaciones comerciales. Las repercusiones pueden ser especialmente graves si el ransomware tiene acceso a información sensible como datos personales de clientes, información financiera o propiedad intelectual. Además, si el ataque no se maneja adecuadamente o si los datos no se recuperan, la empresa puede enfrentar demandas o sanciones regulatorias por no proteger adecuadamente los datos de sus clientes.
6. Impacto en la Seguridad de la Información:
Adver también plantea un riesgo importante para la seguridad de la información. Los atacantes detrás de este ransomware pueden utilizar las máquinas infectadas para esparcir malware adicional, robar credenciales de acceso, realizar exfiltración de datos o acceder a sistemas de control crítico, lo que podría tener consecuencias graves en entornos industriales o gubernamentales. Además, la explotación de vulnerabilidades para distribuir el ransomware (como en sistemas sin parches o software desactualizado) puede dejar otras puertas abiertas para futuros ataques, comprometiendo aún más la seguridad de la infraestructura afectada.
7. Compromiso de Datos Sensibles:
La amenaza de Adver se agrava cuando los atacantes tienen acceso a datos sensibles. Aunque no todos los ataques de ransomware se asocian con el robo de información, en este caso, algunos de los componentes del malware pueden incluir funcionalidades para recopilar y exfiltrar información antes de realizar el cifrado. Si los atacantes tienen acceso a información confidencial o personal, pueden utilizarla para realizar actividades fraudulentas, como el robo de identidad, o venderla en mercados oscuros. En situaciones más graves, esto puede llevar a violaciones de datos a gran escala, con consecuencias legales y reputacionales para las víctimas.
8. Diseminación de Vulnerabilidades:
La propagación de Adver dentro de una red también puede exponer vulnerabilidades dentro del sistema o de la infraestructura de red. Muchas veces, los sistemas infectados no tienen configuraciones de seguridad adecuadas o carecen de parches de seguridad importantes. El ransomware puede actuar como un catalizador para la explotación de estas debilidades, lo que permite a los atacantes ejecutar comandos o implementar más malware en dispositivos adicionales. Esto puede llevar a una cadena de infecciones en la red que hace aún más difícil erradicar el problema y recuperar los datos.
Origen y motivación
Adver es un ransomware creado por ciberdelincuentes con el objetivo de extorsionar a las víctimas mediante el cifrado de sus archivos y la solicitud de un rescate para su recuperación. Su motivación principal es financiera, ya que los atacantes exigen pagos en criptomonedas a cambio de las herramientas de descifrado necesarias para desbloquear los archivos. Este tipo de malware se propaga comúnmente a través de canales como correos electrónicos maliciosos, software pirata, y sitios web comprometidos, buscando infectar a tantas víctimas como sea posible. Los creadores de Adver también se aprovechan de vulnerabilidades en sistemas desactualizados para maximizar el impacto de sus ataques, lo que les permite obtener ganancias ilícitas a partir del temor y la urgencia de las víctimas por recuperar sus datos.