FMLN

De CiberWiki
Revisión del 15:31 10 abr 2025 de Fernando.VH (discusión | contribs.) (Descripción de FMLN Ransomware)
(difs.) ← Revisión anterior | Revisión actual (difs.) | Revisión siguiente → (difs.)

FMLN Ransomware es una amenaza de tipo criptovirus diseñada para cifrar los archivos de las víctimas y exigir un rescate a cambio de su recuperación. Detectado inicialmente a través de análisis en VirusTotal, este ransomware modifica los nombres de los archivos cifrados agregando la extensión .crypt-[extensión_original], como por ejemplo “1.jpg” que se convierte en “1.crypt-jpg”. Además, al completar el proceso de cifrado, FMLN cambia el fondo de escritorio del sistema afectado y genera una nota de rescate tanto en un archivo llamado “README.txt” como en una ventana emergente.

La nota de rescate indica que los archivos han sido cifrados y advierte que eliminar el programa o utilizar un antivirus puede hacer que los datos sean irrecuperables. Se instruye a la víctima a contactar al atacante por correo electrónico (dharkonsk@gmail.com) para obtener el código de desencriptación. Sin embargo, como en la mayoría de los casos de ransomware, pagar el rescate no garantiza la recuperación de los archivos, ya que muchos ciberdelincuentes no cumplen con lo prometido.

FMLN se distribuye a través de medios comunes como correos electrónicos maliciosos, descargas de software pirateado, anuncios engañosos y sitios de torrents. Eliminar el ransomware del sistema puede prevenir más daños, pero no recupera los archivos cifrados, por lo que es esencial contar con copias de seguridad almacenadas en lugares seguros y desconectados. La prevención mediante prácticas de navegación seguras, uso de antivirus actualizado y precaución con correos desconocidos es clave para evitar infecciones similares.

Funcionamiento

El FMLN Ransomware es un malware de tipo criptográfico diseñado para comprometer la integridad y disponibilidad de la información almacenada en sistemas Windows. Su funcionamiento sigue una secuencia estructurada que involucra reconocimiento del entorno, cifrado de archivos, modificación del sistema operativo para dificultar la recuperación, y comunicación con el atacante. A continuación, se describe de forma técnica y extensa el comportamiento de este ransomware desde el momento de la infección hasta el despliegue de sus mecanismos de extorsión.

1. Fase de ejecución e instalación

Cuando el usuario ejecuta el archivo malicioso (normalmente recibido mediante técnicas de phishing, adjunto en correos electrónicos o descargado desde fuentes no oficiales), FMLN inicia su carga en memoria. Dependiendo de su diseño, puede utilizar técnicas de packing o obfuscation para evadir la detección por parte de soluciones antivirus. Una vez en ejecución, el malware puede desplegar una serie de validaciones del entorno, como:

  • Verificar si el sistema está en una máquina virtual o entorno sandbox (anti-VM y anti-analysis).
  • Obtener información del sistema como versión de Windows, arquitectura, privilegios de usuario y rutas de directorios críticos (Desktop, Documents, Downloads, etc.).
  • Elevar privilegios, si es necesario, mediante técnicas como UAC bypass para garantizar acceso total al sistema de archivos.

2. Cifrado de archivos y manipulación del sistema

FMLN procede con la búsqueda recursiva de archivos almacenados en el disco local, incluyendo unidades externas conectadas. Generalmente, evita cifrar archivos esenciales del sistema para no impedir el arranque del SO, permitiendo así que la víctima pueda recibir e interpretar las instrucciones del rescate. El ransomware selecciona extensiones comunes (por ejemplo, .jpg, .png, .docx, .xlsx, .pdf, .txt, .zip, etc.) y aplica un algoritmo de cifrado a cada archivo, renombrándolo bajo el patrón:

Por ejemplo: proyecto.pdfproyecto.crypt-pdf

Aunque no se ha confirmado públicamente cuál algoritmo criptográfico emplea FMLN, es común en este tipo de ransomware el uso de AES-256 (simétrico) o una combinación híbrida AES + RSA (asimétrico), donde AES cifra el contenido y RSA cifra la clave AES. Esto impide la recuperación de archivos sin la clave privada correspondiente.

Durante este proceso, también pueden ejecutarse otras acciones típicas de ransomware:

  • Eliminación de copias de sombra (vssadmin delete shadows /all /quiet).
  • Deshabilitación del Modo Seguro o recuperación automática.
  • Bloqueo de procesos relacionados con software de backup, bases de datos o protección activa.

3. Despliegue de la nota de rescate y persistencia

Finalizado el cifrado, FMLN modifica el fondo de escritorio con una imagen intimidatoria que contiene un mensaje indicando que los archivos han sido cifrados. Además, crea un archivo llamado README.txt en múltiples ubicaciones del sistema, incluyendo el escritorio, el cual contiene las instrucciones de rescate. Paralelamente, se muestra una ventana emergente que replica la misma información, advirtiendo a la víctima que no elimine el malware ni ejecute software antivirus, ya que de hacerlo podría perder la posibilidad de recuperar los archivos.

En ambas notas, el atacante proporciona un correo electrónico (dharkonsk@gmail.com) para iniciar el proceso de "desencriptación". Se indica que el usuario debe enviar una solicitud por correo y que, posiblemente, deba cumplir una condición (pagar) para recibir un código que deberá ingresarse en una supuesta consola de desencriptación.

En cuanto a persistencia, aunque no siempre se observa en todos los ejemplares, FMLN podría:

  • Insertar claves en el registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) para ejecutarse al iniciar sesión.
  • Copiarse en rutas del sistema con nombres legítimos (por ejemplo, svchost.exe) para camuflarse.

4. Comportamiento adicional y capacidades potenciales

Algunos análisis han identificado que FMLN puede estar asociado con droppers o loaders, lo que permite la descarga y ejecución de cargas maliciosas adicionales como stealers (exfiltración de contraseñas), keyloggers, o backdoors. La presencia de estos módulos puede depender de la campaña o actor detrás de la distribución.

Asimismo, el malware puede realizar conexiones salientes para informar al atacante sobre una nueva víctima (por ejemplo, enviando el nombre del equipo, ID de sesión o lista de archivos cifrados). Sin embargo, en este caso, el canal principal de comunicación parece ser el correo electrónico.

Impacto y consecuencias

El impacto y las consecuencias técnicas del FMLN Ransomware son significativos, ya que este tipo de amenaza compromete no solo la disponibilidad de la información, sino también la integridad operativa de los sistemas afectados. A continuación, se ofrece una descripción técnica y extensa de los efectos que este ransomware puede generar en entornos personales, corporativos e institucionales.

🧨 1. Impacto a la disponibilidad de la información

🔐 Cifrado masivo de archivos

FMLN Ransomware realiza un cifrado selectivo y recursivo de archivos con extensiones comunes asociadas a documentos, bases de datos, imágenes y otros recursos de valor. Este cifrado impide el acceso directo a los archivos por parte de usuarios y aplicaciones, interrumpiendo operaciones críticas en entornos corporativos y personales.

  • El sufijo .crypt-[extensión_original] altera la estructura de nombres, dificultando el reconocimiento de archivos originales.
  • Los sistemas quedan funcionales a nivel de SO, pero la información de trabajo se vuelve inservible.

🧬 2. Alteración del sistema operativo y comportamiento del host

🛠️ Modificación del entorno

Durante su ejecución, FMLN puede ejecutar comandos como:

  • vssadmin delete shadows para eliminar copias de seguridad locales (Shadow Copies).
  • bcdedit /set {default} recoveryenabled No para inhabilitar la recuperación del sistema.
  • wbadmin delete catalog para eliminar catálogos de backup automáticos.

Estas acciones redundan en la pérdida de mecanismos nativos de recuperación y aumentan la dependencia de la víctima hacia el atacante.

🔧 Persistencia

Aunque no en todos los casos, puede modificar entradas en el registro para asegurar su ejecución en el arranque del sistema, e incluso renombrar su binario a nombres similares a procesos legítimos del sistema (como svchost.exe), lo cual afecta la higiene del sistema operativo y dificulta la detección manual.

🧠 3. Impacto en la integridad operativa y continuidad del negocio

📉 Interrupción de servicios

En sistemas corporativos, si FMLN afecta unidades compartidas de red, servidores de archivos o equipos de usuarios clave:

  • Se interrumpen procesos productivos, administrativos y de atención al cliente.
  • Se afecta la continuidad operativa, especialmente si los datos cifrados pertenecen a sistemas ERP, CRM, bases de datos contables o registros médicos.

💸 Daños económicos

Los costos directos e indirectos incluyen:

  • Tiempo y recursos destinados a la contención y limpieza del malware.
  • Pérdida de datos no respaldados.
  • Interrupciones de servicio con impacto financiero en operaciones.
  • Potencial pago del rescate en criptomonedas.

Además, en muchos casos, aunque se pague el rescate, los atacantes no garantizan la recuperación completa, o el proceso de descifrado es defectuoso.

💥 4. Consecuencias sobre la seguridad de la información

🔓 Potencial filtración de datos

Aunque FMLN no ha demostrado conductas explícitas de data exfiltration, la arquitectura de algunos ransomware modernos incluye funciones que permiten al atacante:

  • Exfiltrar archivos confidenciales antes del cifrado.
  • Implementar chantaje doble: cifrado + amenaza de divulgación pública.

⚠️ Vulnerabilidad residual

Tras una infección, el sistema permanece:

  • Comprometido a nivel de confianza, incluso si el ransomware es eliminado.
  • Sin garantías de que otros payloads no hayan sido desplegados, como backdoors o keyloggers.

🎯 5. Consecuencias legales y de cumplimiento

En entornos donde se manejan datos personales o sensibles (por ejemplo, sector salud, banca o educación), una infección de FMLN puede llevar a:

  • Violaciones del RGPD (en Europa) o de la Ley 1581 en Colombia, si se comprueba la pérdida o exposición de datos personales.
  • Sanciones regulatorias, demandas o pérdida de certificaciones de cumplimiento (ISO 27001, PCI-DSS, etc.).
  • Daño reputacional derivado de la notificación obligatoria a usuarios o clientes afectados.

🧭 6. Impacto psicológico y sociotécnico

🧨 Intimidación y presión psicológica

  • El uso de un fondo de pantalla amenazante, mensajes emergentes y alertas persistentes genera estrés y sensación de urgencia.
  • La instrucción de contactar al atacante por correo (ej. dharkonsk@gmail.com), coloca a la víctima en una posición vulnerable y sin garantías.

Origen y motivación

El FMLN Ransomware parece tener un origen vinculado a actores individuales o pequeños grupos con conocimientos técnicos básicos que emplean herramientas genéricas de cifrado, posiblemente inspirados en otros ransomware de código abierto disponibles en foros clandestinos. Su motivación principal es económica, enfocada en extorsionar a usuarios y organizaciones mediante el cifrado de archivos personales y corporativos, exigiendo rescates a través de canales como correos electrónicos anónimos. Aunque no muestra características avanzadas como la doble extorsión o la venta de datos, su diseño sugiere un enfoque oportunista dirigido a víctimas con escasa preparación en ciberseguridad, especialmente en entornos con débiles políticas de respaldo y protección de sistemas.

Obtenido de «https://darfe.es/ciberwiki/index.php?title=FMLN&oldid=2468»