El ransomware REVRAC es un tipo de malware diseñado para cifrar archivos en un sistema infectado y exigir un rescate a cambio de la clave de descifrado. Este programa malicioso cifra archivos, agrega una extensión ".REVRAC" junto a un identificador único para cada víctima, y renombra archivos de forma que el título original incluye esta nueva extensión y el identificador asignado. Al finalizar el proceso de cifrado, REVRAC deja una nota de rescate en un archivo llamado "README.txt," donde informa al usuario que solo podrá recuperar sus archivos mediante el pago de un rescate.

En la nota de rescate, los atacantes de REVRAC proporcionan un correo de contacto y permiten a la víctima descifrar un único archivo pequeño como prueba. Sin embargo, advierten que cualquier intento de recuperar los datos mediante herramientas de terceros o cambios en los nombres de los archivos cifrados podría resultar en la pérdida permanente de los datos. Aunque el rescate puede parecer la única opción para la recuperación, no hay garantía de que los atacantes cumplan con el envío de la clave de descifrado, incluso después de recibir el pago.

Este ransomware generalmente se propaga mediante tácticas de ingeniería social, como correos electrónicos de phishing y descargas engañosas, donde los archivos maliciosos están disfrazados de documentos o programas legítimos. Los sistemas infectados suelen ver afectados todos los archivos almacenados, haciéndolos inaccesibles sin la clave de descifrado. Además, REVRAC puede llegar a instalar troyanos adicionales que roban datos, aumentando aún más el riesgo de seguridad para el usuario afectado. La mejor estrategia contra REVRAC es la prevención mediante el uso de software de seguridad actualizado y la práctica de mantener copias de seguridad en ubicaciones externas seguras.

Funcionamiento

El ransomware REVRAC opera utilizando métodos de cifrado avanzados para secuestrar archivos en el sistema objetivo, haciendo que estos sean inaccesibles sin la intervención del atacante. Una vez que REVRAC infecta un dispositivo, realiza un escaneo exhaustivo del sistema en busca de archivos específicos, generalmente los de tipo .docx, .jpg, .pdf, .xls y otros formatos de uso común. Tras identificar los archivos, inicia el proceso de cifrado utilizando un algoritmo de cifrado robusto, que puede ser simétrico (AES) o asimétrico (RSA), dependiendo de la complejidad del ataque. En este proceso, cada archivo cifrado recibe una extensión adicional ".REVRAC" y un identificador único asignado a la víctima. Por ejemplo, un archivo originalmente llamado "documento.docx" se renombraría como "documento.docx.{ID}.REVRAC", lo que asegura que la víctima reconozca la extensión y el identificador únicos como características distintivas de este ransomware.

Después de cifrar los archivos, REVRAC procede a eliminar o modificar copias de seguridad y puntos de restauración del sistema, lo que impide que la víctima restaure sus datos sin necesidad de una clave de descifrado. REVRAC también introduce un archivo de texto titulado "README.txt" en múltiples directorios del sistema infectado. Este archivo de texto contiene una nota de rescate en la cual los atacantes explican la situación a la víctima: sus archivos han sido cifrados y la única manera de recuperarlos es mediante el pago de un rescate, generalmente en criptomonedas como Bitcoin, a través de un contacto específico (TechSupport@cyberfear.com). La nota también incluye una oferta de prueba de descifrado de un único archivo pequeño, de no más de 1 MB, para que la víctima pueda comprobar la efectividad de la herramienta de descifrado proporcionada por los atacantes.

Para mantenerse activo y evitar ser detectado, REVRAC puede deshabilitar las funciones de seguridad de la computadora, como el antivirus o los firewalls, y persistir en el sistema utilizando técnicas de ocultación avanzada. Esto podría implicar cambios en el registro, la creación de tareas programadas o la manipulación de procesos legítimos para evitar su eliminación. Además, el ransomware puede incluir componentes adicionales, como troyanos de acceso remoto (RAT) o módulos de exfiltración de datos que permiten a los atacantes monitorear el sistema o robar información sensible antes de aplicar el cifrado. Esta estrategia permite a los operadores de REVRAC maximizar el daño y la presión sobre la víctima, asegurando que el pago del rescate se perciba como la única opción viable para recuperar el acceso a los archivos cifrados.

Impacto y consecuencias

El ransomware REVRAC tiene un impacto significativo y potencialmente devastador sobre los sistemas y la integridad de la información almacenada, debido a su capacidad para cifrar archivos críticos y solicitar un rescate en criptomonedas a cambio de la clave de descifrado. El cifrado de archivos personales, empresariales y de sistema afecta directamente la disponibilidad de los datos, ya que los archivos cifrados quedan inutilizables, impidiendo el acceso de los usuarios y paralizando las operaciones, especialmente en el contexto empresarial. Esto puede llevar a interrupciones en la continuidad del negocio, pérdida de productividad y en algunos casos, pérdidas financieras significativas si los archivos comprometidos son esenciales para las actividades comerciales.

Una de las principales consecuencias del ataque de REVRAC es la presión psicológica y financiera ejercida sobre las víctimas. La nota de rescate deja claro que cualquier intento de recuperar los datos por medios alternativos (como el cambio de nombre de los archivos o el uso de herramientas de descifrado de terceros) puede provocar la pérdida irreversible de los archivos. Esta situación empuja a las víctimas a considerar seriamente el pago del rescate, pese a que este pago no garantiza la recuperación de los datos, ya que los ciberdelincuentes no siempre proporcionan las claves o software de descifrado prometidos tras recibir el pago. Adicionalmente, el envío de fondos a los atacantes perpetúa sus actividades, ya que incentiva a los ciberdelincuentes a seguir desarrollando y distribuyendo ransomware como REVRAC.

Las consecuencias de una infección con REVRAC no solo abarcan la pérdida de datos y el costo potencial del rescate, sino también el riesgo de daños adicionales, como el robo de datos. Al igual que otros tipos de ransomware modernos, REVRAC puede incluir módulos que permiten exfiltrar información sensible o incluso instalar malware secundario en el sistema infectado, como troyanos o spyware que roban credenciales y datos confidenciales. Esto incrementa la vulnerabilidad del sistema afectado y pone en riesgo a terceros, incluyendo clientes y socios comerciales en el caso de una empresa. Además, la recuperación posterior a una infección de REVRAC puede ser extensa y costosa, ya que requiere la eliminación del malware, restauración de los datos (si existen copias de seguridad seguras), revisión de la infraestructura de seguridad y la implementación de medidas adicionales para prevenir futuros ataques. Estos factores hacen de REVRAC una amenaza de gran impacto, con consecuencias a largo plazo que van más allá del acceso a los archivos, afectando la reputación, seguridad y continuidad de las operaciones.

Origen y motivación

REVRAC parece originarse de grupos de ciberdelincuentes motivados principalmente por el lucro financiero, aprovechando el uso de técnicas avanzadas de cifrado para extorsionar a las víctimas. Este ransomware se enmarca en el modelo de "ransomware como servicio" (RaaS), donde sus creadores desarrollan y distribuyen el malware a otros actores criminales, que lo propagan a cambio de una parte del rescate. La motivación detrás de REVRAC es la obtención de pagos en criptomonedas, capitalizando sobre la desesperación de las víctimas y su necesidad de acceder nuevamente a sus datos, a la vez que se mantienen en el anonimato gracias a la infraestructura de criptografía y la red de distribuidores.