Scp Ransomware

De CiberWiki
Revisión del 19:47 13 nov 2024 de Fernando.VH (discusión | contribs.) (descripción de ransomware Scp)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)

El ransomware Scp, parte de la familia Makop, es un tipo de malware que cifra los archivos de la víctima, haciéndolos inaccesibles, y modifica sus nombres al agregar un ID único, un correo electrónico (studiocp25@hotmail.com) y la extensión ".scp". Además, cambia el fondo de escritorio de la víctima con un mensaje que insta a contactar a los atacantes para recuperar los archivos. Por ejemplo, un archivo como "foto.jpg" se renombra a "foto.jpg.[ID].[correo].scp". La nota de rescate advierte que los archivos han sido robados y podrían publicarse si no se paga el rescate solicitado.

Los ciberdelincuentes utilizan tácticas como correos electrónicos maliciosos, sitios web dudosos o software pirata para distribuir este ransomware. Una vez instalado, no solo cifra los archivos, sino que también puede instalar otros tipos de malware, aumentando los riesgos para el sistema infectado. Aunque los atacantes prometen proporcionar una herramienta de descifrado tras el pago, no hay garantías de que cumplan su palabra, por lo que se desaconseja pagar el rescate.

Para protegerse de Scp y otros ransomware, es vital contar con copias de seguridad actualizadas almacenadas de forma segura, evitar enlaces sospechosos o archivos adjuntos desconocidos, y mantener un software antivirus legítimo y actualizado. En caso de infección, se recomienda eliminar el ransomware con herramientas de seguridad confiables para prevenir más daños.

Funcionamiento

El ransomware Scp, perteneciente a la familia Makop, es un criptovirus diseñado para extorsionar a las víctimas mediante el cifrado de archivos y la amenaza de publicación de datos robados. Su funcionamiento está estructurado en diversas fases que abarcan desde la infiltración hasta la ejecución de acciones maliciosas. A continuación, se detalla su operativa técnica:

1. Vector de Infección

Scp ransomware utiliza múltiples métodos para comprometer los sistemas de sus víctimas:

  • Correos electrónicos maliciosos: Utiliza archivos adjuntos (como documentos con macros, PDF o ejecutables) que, al ser abiertos, ejecutan scripts que descargan el ransomware.
  • Software pirata: Se incluye en herramientas de cracking o generadores de claves distribuidos en redes P2P o sitios web no oficiales.
  • Explotación de vulnerabilidades: Emplea vulnerabilidades conocidas en software desactualizado para ganar acceso a sistemas.
  • Unidades USB infectadas: Propaga el ransomware a través de dispositivos externos comprometidos.

2. Ejecución y Persistencia

Una vez que el archivo ejecutable del ransomware se activa en el sistema:

  1. Reconocimiento inicial: Scp ejecuta scripts para identificar las rutas de directorios y los tipos de archivos presentes en el sistema, excluyendo algunos esenciales para el funcionamiento del sistema operativo.
  2. Persistencia: Se configura para iniciarse automáticamente al reinicio del sistema, utilizando entradas en el registro de Windows o tareas programadas.

3. Cifrado de Archivos

El ransomware emplea algoritmos de cifrado avanzados (como AES o RSA):

  • Genera una clave única para cada víctima y la cifra con la clave pública del atacante.
  • A medida que cifra los archivos, modifica sus nombres agregando un ID único (identificador de la víctima), un correo de contacto (como studiocp25@hotmail.com) y la extensión ".scp".
  • Por ejemplo, un archivo original como documento.txt se renombra a documento.txt.[2AF20FA3].[studiocp25@hotmail.com].scp.

4. Modificación del Sistema

  • Cambio de fondo de pantalla: Modifica el fondo de escritorio con un mensaje que informa a la víctima que sus archivos han sido cifrados y deben contactar a los atacantes.
  • Creación de una nota de rescate: Genera un archivo (generalmente llamado +README-WARNING+.txt) que detalla las instrucciones para el pago del rescate. Incluye métodos de contacto como un correo electrónico y un Tox ID, junto con amenazas de publicar los datos robados si no se cumple con las demandas.

5. Mecanismos Anti-Forenses

Scp implementa varias técnicas para dificultar la detección y el análisis:

  • Elimina copias de seguridad locales, como las creadas por el sistema operativo (shadow copies), para evitar la restauración de los archivos sin pagar el rescate.
  • Puede finalizar procesos o servicios relacionados con herramientas de seguridad y copias de seguridad.

6. Exfiltración y Extorsión

Aunque Scp está principalmente diseñado para cifrar archivos, también puede incorporar funcionalidades de robo de datos:

  • Exfiltración: Transfiere información sensible a los servidores de los atacantes como parte de la amenaza de publicar los datos robados en caso de que la víctima no pague.
  • Extorsión dual: Además del cifrado, presiona a las víctimas con la posibilidad de divulgar información confidencial.

7. Interacción con la Víctima

Los atacantes instan a la víctima a contactarlos a través de correos o Tox para negociar el rescate, generalmente en criptomonedas. A menudo, desaconsejan utilizar herramientas de descifrado de terceros, advirtiendo que podrían causar daños adicionales o pérdida permanente de los datos.

Impacto y consecuencias

El impacto y las consecuencias del ransomware Scp, miembro de la familia Makop, son severas tanto para individuos como para organizaciones, debido a la combinación de cifrado avanzado de archivos y tácticas de extorsión dual. Este malware no solo afecta la disponibilidad de datos, sino que también puede comprometer la confidencialidad de la información, lo que resulta en graves repercusiones económicas, operativas y reputacionales.


1. Impacto en la Disponibilidad de los Datos

El ransomware Scp emplea algoritmos de cifrado robustos (como AES y RSA) para bloquear los archivos de las víctimas, haciéndolos inaccesibles:

  • Cifrado Completo: Todos los archivos críticos, como documentos, imágenes, bases de datos y archivos de configuración, quedan inutilizables. Esto puede paralizar operaciones esenciales, especialmente en entornos empresariales.
  • Eliminación de Copias de Seguridad: Scp elimina copias de seguridad locales (shadow copies), lo que impide restaurar archivos sin recurrir a copias externas o herramientas específicas.
  • Dependencia de los Atacantes: La única forma viable de recuperar los datos es mediante el pago del rescate, lo que introduce incertidumbre, ya que no hay garantía de que los atacantes proporcionen un descifrador funcional.

2. Impacto en la Confidencialidad

Además del cifrado, Scp utiliza tácticas de exfiltración de datos:

  • Robo de Información Sensible: Los atacantes recopilan datos críticos, como información personal, financiera o empresarial, y amenazan con publicarlos en caso de no recibir el rescate.
  • Extorsión Dual: Esta estrategia duplica la presión sobre las víctimas, quienes enfrentan no solo la pérdida de acceso a los archivos, sino también el riesgo de violaciones de datos que pueden generar multas regulatorias (como las establecidas por el RGPD o leyes similares).

3. Impacto Económico

Las consecuencias financieras derivadas de una infección de Scp ransomware son significativas:

  • Costos de Rescate: Los atacantes suelen exigir pagos en criptomonedas, como Bitcoin, que pueden oscilar entre cientos y miles de dólares, dependiendo del perfil de la víctima.
  • Interrupción Operativa: La indisponibilidad de archivos y sistemas críticos puede detener operaciones durante horas o días, generando pérdidas económicas directas.
  • Costos de Recuperación: Incluyen inversión en servicios forenses, adquisición de nuevas herramientas de seguridad y restauración de sistemas.

4. Impacto Operativo

  • Parálisis de Procesos: En entornos corporativos, la falta de acceso a bases de datos, aplicaciones y sistemas esenciales puede interrumpir servicios críticos y operaciones.
  • Propagación en Redes: Scp puede extenderse a través de redes comprometidas, cifrando recursos compartidos y dispositivos adicionales, amplificando el daño.

5. Impacto Reputacional

El ransomware Scp puede ocasionar daños a la imagen pública de una organización:

  • Pérdida de Confianza: Las violaciones de datos y la divulgación de información confidencial pueden erosionar la confianza de clientes, socios y accionistas.
  • Publicidad Negativa: La exposición mediática de un ataque puede perjudicar la reputación y atraer el escrutinio regulatorio.

6. Impacto Legal y Regulatorio

  • Multas y Sanciones: La exposición de datos personales o confidenciales puede violar normativas de protección de datos como el RGPD, la HIPAA u otras, resultando en multas significativas.
  • Litigios: Las víctimas pueden enfrentar demandas legales de clientes o socios afectados por el incidente.

7. Posibles Consecuencias a Largo Plazo

  • Pérdida Permanente de Datos: Sin una solución de descifrado o copias de seguridad, algunos datos pueden ser irrecuperables.
  • Mayor Vulnerabilidad: Las víctimas que pagan el rescate pueden ser marcadas como objetivos para futuros ataques.
  • Incremento de Costos en Seguridad: Las empresas deben invertir significativamente en la mejora de sus defensas cibernéticas para prevenir ataques futuros.

Origen y motivación

El ransomware Scp pertenece a la familia Makop, un grupo conocido por desarrollar variantes de ransomware altamente personalizadas con el objetivo de extorsionar económicamente a sus víctimas. Su origen se vincula a actores de amenazas especializados en ataques dirigidos, que buscan explotar vulnerabilidades o emplear métodos de ingeniería social para infiltrarse en sistemas vulnerables. La principal motivación detrás de Scp es el beneficio financiero, utilizando un modelo de extorsión dual que combina el cifrado de datos con el robo y la amenaza de publicar información sensible, presionando a las víctimas para que paguen un rescate, generalmente en criptomonedas, a cambio de recuperar sus datos y evitar violaciones públicas de seguridad.