Backmydata

El ransomware "Backmydata" (Bmd) es un malware perteneciente a la familia Dharma. Este programa malicioso encripta archivos al cambiar sus nombres y añadir una extensión ".bdm", junto con la identificación de la víctima y la dirección de correo electrónico "backmydata@protonmail.com". Al infectar un sistema, Bmd muestra instrucciones de contacto a través del archivo de texto "FILES ENCRYPTED.txt" y ventanas emergentes, ofreciendo a las víctimas la posibilidad de recuperar sus archivos mediante el pago de un rescate. Las instrucciones indican escribir a las direcciones de correo electrónico mencionadas para recibir detalles sobre el precio y la forma de realizar el pago.

  1. Sin embargo, se advierte que confiar en los ciberdelincuentes puede resultar en estafas, y se recomienda no pagar el rescate. La infección generalmente se propaga a través de campañas de malspam, troyanos, descargas de software no confiables, actualizaciones de software falsas y herramientas de activación no oficiales. Una vez infectada, la computadora muestra mensajes de rescate y los archivos quedan inaccesibles hasta que se realice un pago, aunque no se garantiza la recuperación de los datos.

Funcionamiento

El ransomware "Backmydata" (Bmd) pertenece a la familia Dharma y sigue un modus operandi típico de este tipo de malware. A nivel técnico, su funcionamiento se puede dividir en varias etapas: la propagación, la ejecución, la encriptación de archivos y la presentación de la demanda de rescate.

  1. Propagación: Bmd utiliza diversas técnicas de propagación para infectar sistemas. Entre las más comunes se encuentran las campañas de malspam, donde los ciberdelincuentes envían correos electrónicos con archivos adjuntos maliciosos o enlaces que llevan a la descarga de archivos infectados. Estos correos electrónicos a menudo se camuflan como comunicaciones legítimas o documentos importantes para engañar a los usuarios y hacer que ejecuten el archivo adjunto.
  2. Ejecución: Una vez que el usuario ejecuta el archivo malicioso adjunto o descargado, Bmd se activa en el sistema. Puede aprovechar vulnerabilidades en el software existente o utilizar técnicas de ingeniería social para persuadir al usuario de ejecutar el código malicioso.
  3. Encriptación de archivos: Después de la ejecución, Bmd busca y selecciona una variedad de tipos de archivos en el sistema, como documentos, imágenes y archivos de texto. Utiliza algoritmos de cifrado sólidos y generalmente asimétricos para cifrar estos archivos, cambiando sus nombres y agregando una extensión específica, en este caso, ".bdm". Además, se añade la identificación de la víctima y la dirección de correo electrónico de contacto a los nombres de archivo encriptados.
  4. Demanda de rescate: Una vez completada la encriptación, Bmd presenta al usuario mensajes de rescate, tanto en un archivo de texto llamado "FILES ENCRYPTED.txt" como en ventanas emergentes en el escritorio. Estos mensajes contienen instrucciones detalladas sobre cómo contactar a los ciberdelincuentes, por lo general, a través de direcciones de correo electrónico proporcionadas (en este caso, "backmydata@protonmail.com" y "backmydata@airmail.cc"). Las instrucciones incluyen detalles sobre el pago del rescate en criptomonedas y la promesa de proporcionar las herramientas de desencriptado una vez que se realice el pago.
  5. Persistencia y propagación adicional: Bmd puede intentar mantener su presencia en el sistema, logrando persistencia para sobrevivir a reinicios y actualizaciones. Además, puede buscar formas de propagarse a otros sistemas en red, utilizando técnicas como el escaneo de puertos y la explotación de vulnerabilidades.
  6. Detección y prevención: La detección de Bmd se puede realizar mediante programas antivirus que identifican patrones de comportamiento y firmas asociadas al ransomware. La prevención implica medidas proactivas, como la educación del usuario para evitar caer en trampas de malspam, la actualización constante de software y la implementación de medidas de seguridad avanzadas

Impacto y consecuencias

El ransomware Backmydata, perteneciente a la familia Dharma, tiene un impacto significativo en los sistemas infectados. Su modus operandi se centra en el cifrado de archivos y la extorsión de los usuarios para su recuperación. A continuación, se detallan las principales consecuencias técnicas de Backmydata:

  1. Cifrado de Archivos:
    • Backmydata utiliza algoritmos criptográficos fuertes para cifrar los archivos de la víctima. Este cifrado impide el acceso a la información contenida en los archivos afectados, haciendo que sean virtualmente inaccesibles.
  2. Modificación de Nombres de Archivo:
    • Para indicar que los archivos han sido cifrados, Backmydata modifica sus nombres, añadiendo la identificación de la víctima, la dirección de correo electrónico "backmydata@protonmail.com" y la extensión ".bdm". Esta modificación dificulta la identificación y recuperación manual de los archivos.
  3. Notificación de Rescate:
    • Tras el cifrado, el ransomware despliega mensajes de rescate tanto en archivos de texto llamados "FILES ENCRYPTED.txt" como en ventanas emergentes. Estas notificaciones instan a la víctima a ponerse en contacto con los ciberdelincuentes a través de las direcciones de correo electrónico proporcionadas para obtener instrucciones sobre cómo realizar el pago del rescate.
  4. Métodos de Contacto y Pago:
    • Backmydata establece canales de comunicación a través de los correos electrónicos "backmydata@protonmail.com" y "backmydata@airmail.cc". Las víctimas que desean desencriptar sus archivos deben contactar a los atacantes para recibir detalles sobre el pago, que suele exigirse en criptomonedas como Bitcoin.
  5. Infección por Cadena:
    • Aunque no se menciona específicamente en la descripción, es común que el ransomware abra la puerta a infecciones adicionales, como troyanos o malware secundario. Esto podría llevar a una pérdida de datos más amplia o a problemas de seguridad más graves.

Consecuencias para el Usuario y el Sistema:

  1. Pérdida de Datos Críticos:
    • Los usuarios afectados enfrentan la pérdida de acceso a sus archivos personales y datos críticos debido al cifrado irreversiblemente aplicado por Backmydata.
  2. Interrupción de Operaciones:
    • La infección por Backmydata puede interrumpir las operaciones normales de un usuario o una organización al hacer que los archivos esenciales sean inaccesibles. Esto puede tener un impacto significativo en la productividad.
  3. Posible Pérdida Monetaria:
    • Aunque se advierte contra el pago del rescate, algunas víctimas pueden optar por pagar para recuperar sus archivos, lo que podría resultar en una pérdida monetaria sin garantía de recuperación completa de los datos.
  4. Reputación Afectada:
    • Para empresas y organizaciones, la infección por ransomware puede tener un impacto negativo en la reputación, especialmente si la pérdida de datos afecta a clientes o socios comerciales.
  5. Repercusiones de Seguridad Continuas:
    • Incluso después de desinstalar Backmydata, los archivos cifrados permanecen inaccesibles. Además, existe la posibilidad de que la infección haya dejado puertas traseras o vulnerabilidades que podrían ser explotadas en el futuro.

Origen y Motivación

Hasta ahora, se puede inferir que la motivación principal de este ransomware es probablemente de naturaleza financiera. Los atacantes emplearon la variante Backmydata para cifrar datos críticos en sistemas de atención médica, exigiendo un rescate a cambio de la restauración de los archivos. Este enfoque indica una motivación centrada en obtener beneficios económicos mediante la extorsión. El origen exacto de Backmydata y los motivos detrás de su desarrollo aún no han sido identificados, y estamos realizando un seguimiento activo para actualizar este artículo tan pronto como se obtenga más información al respecto.