Boost ransomware es una variante de ransomware de la familia Dharma que, una vez ejecutada en un sistema, cifra los archivos del usuario, cambia sus nombres añadiendo una extensión ".boost" junto con un ID de víctima y una dirección de correo electrónico. Proporciona una nota de rescate en una ventana emergente y en un archivo de texto, indicando a las víctimas que deben contactar con los atacantes mediante el correo boston.crypt@tuta.io y pagar un rescate en bitcoins para recuperar sus archivos. Este ransomware se propaga principalmente a través de servicios vulnerables del Protocolo de Escritorio Remoto (RDP) y puede desactivar cortafuegos y eliminar instantáneas de volumen para impedir la recuperación de archivos.

Funcionamiento

Boost ransomware, una variante de la familia Dharma, opera en varias etapas para cifrar los archivos del usuario y extorsionar un rescate. A continuación, se describe su funcionamiento:

  1. Infiltración: Boost ransomware se introduce en el sistema objetivo a través de vulnerabilidades en el Protocolo de Escritorio Remoto (RDP), correos electrónicos maliciosos, anuncios infectados, software pirata, o utilizando ataques de fuerza bruta para obtener acceso a través de contraseñas débiles.
  2. Ejecución Inicial: Una vez que el ransomware ha comprometido el sistema, se ejecuta y comienza su proceso de cifrado.
  3. Persistencia: Para asegurarse de que permanece activo, Boost ransomware se copia en rutas específicas del sistema y se registra con claves de ejecución en el registro de Windows. Esto permite que se ejecute automáticamente con cada inicio del sistema.
  4. Cifrado de Archivos: Boost escanea el sistema en busca de archivos y los cifra utilizando algoritmos robustos. Luego, modifica los nombres de los archivos cifrados añadiendo el ID de la víctima, una dirección de correo electrónico (boston.crypt@tuta.io) y la extensión ".boost". Por ejemplo, un archivo llamado "1.jpg" se renombra a "1.jpg.id-9ECFA84E.[boston.crypt@tuta.io].boost".
  5. Modificación del Sistema: Desactiva el cortafuegos del sistema y elimina las instantáneas de volumen (copias de seguridad) para impedir la recuperación de los archivos sin pagar el rescate.
  6. Notificación de Rescate: Boost presenta a la víctima dos notas de rescate: una en una ventana emergente y otra en un archivo de texto llamado "FILES ENCRYPTED.txt". En estas notas, se explica que los archivos han sido cifrados debido a un problema de seguridad y se instruye a las víctimas a enviar un correo electrónico a boston.crypt@tuta.io, incluyendo el ID de víctima, para negociar el pago del rescate en bitcoins. También se advierte a las víctimas que no intenten renombrar o descifrar los archivos por su cuenta, ya que esto podría causar una pérdida permanente de datos o un aumento en el precio del rescate.
  7. Mecanismos de Contacto y Pago: Los atacantes proporcionan instrucciones sobre cómo obtener bitcoins y recomiendan ciertos sitios para realizar la compra. También ofrecen descifrar un archivo de menos de 1 MB como garantía de que pueden restaurar los datos.
  8. Finalización: Después de recibir el pago del rescate, los atacantes supuestamente proporcionan una herramienta de descifrado para recuperar los archivos cifrados. Sin embargo, pagar el rescate no garantiza que los archivos sean restaurados y se desaconseja hacerlo.

Impacto y consecuencias

El impacto y las consecuencias del Boost ransomware son significativos y afectan tanto a individuos como a organizaciones. A continuación se describen estos aspectos en detalle:

Impacto

  1. Pérdida de Datos: El cifrado de archivos por parte de Boost ransomware resulta en la pérdida temporal o permanente de acceso a datos críticos. Esto incluye documentos, fotos, bases de datos y cualquier otro tipo de archivo almacenado en el sistema.
  2. Interrupción de Operaciones: Para las organizaciones, el ataque puede causar una interrupción significativa en las operaciones diarias. La imposibilidad de acceder a archivos esenciales puede detener procesos de negocio, producción, y servicios, lo que afecta la productividad y el rendimiento.
  3. Costos Financieros: Además del rescate en sí, que generalmente debe pagarse en bitcoins, las víctimas pueden enfrentar costos adicionales relacionados con la recuperación del sistema, la restauración de datos, y la implementación de medidas de seguridad mejoradas. Incluso si no se paga el rescate, los costos asociados con la respuesta al incidente y la mitigación pueden ser sustanciales.
  4. Daño a la Reputación: Las empresas afectadas por Boost ransomware pueden sufrir daños a su reputación, especialmente si el ataque se hace público. Los clientes y socios pueden perder la confianza en la capacidad de la empresa para proteger datos sensibles.
  5. Posible Robo de Información: Aunque el objetivo principal del ransomware es cifrar archivos para pedir un rescate, también puede servir como puerta de entrada para otros tipos de malware, como troyanos que roban información. Esto puede llevar a la exposición y explotación de datos confidenciales.

Consecuencias

  1. Pérdida de Clientes y Negocios: La interrupción del servicio y la pérdida de confianza pueden llevar a una disminución en la base de clientes y la pérdida de oportunidades de negocio.
  2. Sanciones Legales y Reguladoras: En algunos sectores, la pérdida de datos y la incapacidad para proteger la información pueden resultar en multas y sanciones por parte de reguladores y autoridades legales.
  3. Aumento de la Vulnerabilidad a Futuro: Las organizaciones que han sido víctimas de un ataque de ransomware pueden ser vistas como objetivos más fáciles para futuros ataques, especialmente si no fortalecen adecuadamente sus medidas de seguridad.
  4. Impacto Psicológico y Estrés: Los individuos y equipos responsables de la recuperación pueden experimentar un estrés significativo debido a la presión de restaurar el acceso a datos críticos y mitigar los efectos del ataque.
  5. Pérdida de Innovación y Competitividad: La atención y los recursos desviados hacia la recuperación del ataque pueden ralentizar o detener proyectos de innovación, lo que puede afectar la competitividad a largo plazo de una organización.

Origen y Motivación

Boost ransomware, parte de la familia Dharma, se origina como una herramienta maliciosa creada por ciberdelincuentes con la motivación principal de extorsionar a las víctimas mediante el cifrado de sus archivos. Los atacantes suelen infiltrarse en sistemas vulnerables, especialmente a través de servicios RDP mal configurados, utilizando técnicas como ataques de fuerza bruta o diccionario. La motivación detrás de Boost ransomware es financiera, ya que los atacantes demandan pagos en bitcoins a cambio de una herramienta de descifrado, aprovechándose de la desesperación de las víctimas para recuperar sus datos cruciales.