EMBARGO es un ransomware que cifra los archivos del dispositivo infectado y añade una extensión aleatoria a los nombres de los archivos. Este malware despliega una nota de rescate, "HOW_TO_RECOVER_FILES.txt", en la que los ciberdelincuentes afirman haber penetrado en la red de la víctima, descargado archivos confidenciales y cifrado el sistema. La nota establece un plazo límite para contactar a los atacantes y obtener una herramienta de descifrado, advirtiendo contra la modificación de archivos. Proporciona instrucciones para descargar Tor y registrar una cuenta, así como un enlace para contactar a los atacantes en caso de problemas. También promete una herramienta de descifrado tras el pago, junto con la eliminación de los datos de los sistemas de los atacantes y un informe detallado de pentesting. El ransomware se propaga a través de diversos medios, incluyendo correos electrónicos con archivos adjuntos maliciosos, sitios web de torrents y anuncios en línea, entre otros.

Funcionamiento

  1. EMBARGO es un tipo de ransomware que se infiltra en el sistema de un usuario a través de diversos medios, como correos electrónicos con archivos adjuntos maliciosos o enlaces engañosos, sitios web comprometidos, anuncios maliciosos en línea, entre otros. Una vez que infecta el sistema, EMBARGO cifra los archivos almacenados en el dispositivo utilizando algoritmos criptográficos, lo que los vuelve inaccesibles para el usuario. Para indicar que los archivos están cifrados, añade una extensión aleatoria a los nombres de los archivos, por ejemplo, cambiando "1.jpg" a "1.jpg.564ba1". Además, crea un archivo de texto llamado "HOW_TO_RECOVER_FILES.txt" que contiene las instrucciones de rescate.
  2. La nota de rescate explica que los atacantes detrás de EMBARGO han logrado infiltrarse en la red del usuario, descargar documentos y archivos confidenciales y cifrar el sistema. Establecen un plazo para que la víctima se comunique con ellos y realice el pago del rescate antes de una fecha límite. Para facilitar el pago y la comunicación, proporcionan un enlace para descargar el navegador Tor y registrarse en una cuenta. Advierten que cualquier modificación en los archivos podría resultar en la pérdida permanente de los datos.
  3. Después de realizar el pago del rescate, los atacantes prometen proporcionar una herramienta de descifrado para restaurar los archivos cifrados. También ofrecen garantías, como la eliminación de los datos de sus sistemas y soporte técnico para ayudar en la recuperación y el desarrollo de un plan de recuperación ante desastres. Sin embargo, no hay garantía de que cumplan con su parte del trato una vez que se haya realizado el pago.
  4. Para combatir este tipo de ransomware, se recomienda a los usuarios mantener actualizado su sistema operativo y software, utilizar programas antivirus confiables, hacer copias de seguridad periódicas de sus archivos y evitar abrir correos electrónicos o enlaces sospechosos. Además, es esencial aislar el dispositivo infectado, informar el incidente a las autoridades pertinentes y buscar herramientas de desencriptado en caso de infección.

Impacto y Consecuencias

El impacto y las consecuencias del ransomware EMBARGO pueden ser significativos y variados:

  1. Pérdida de datos críticos: El cifrado de archivos puede resultar en la pérdida de datos importantes, como documentos empresariales, archivos personales, fotografías, entre otros. Dependiendo de la importancia y sensibilidad de estos datos, la pérdida puede tener consecuencias graves, tanto a nivel personal como profesional.
  2. Interrupción de operaciones comerciales: Si una empresa es víctima de EMBARGO, puede experimentar una interrupción significativa en sus operaciones comerciales. Los archivos cifrados pueden contener información vital para la continuidad del negocio, como bases de datos, documentos financieros, correos electrónicos, entre otros. Esto puede resultar en la pérdida de productividad, pérdida de ingresos y daño a la reputación de la empresa.
  3. Costos financieros: El costo del rescate exigido por los atacantes puede ser sustancial, especialmente para empresas que dependen de sus datos para operar. Además del rescate en sí, también pueden surgir costos adicionales asociados con la recuperación de datos, la inversión en medidas de seguridad mejoradas y la posible pérdida de ingresos durante la interrupción del negocio.
  4. Daño a la reputación: Ser víctima de un ataque de ransomware como EMBARGO puede dañar la reputación de una empresa, especialmente si se hace público. Los clientes y socios comerciales pueden perder la confianza en la capacidad de la empresa para proteger sus datos, lo que puede resultar en la pérdida de clientes y oportunidades comerciales futuras.
  5. Posibles implicaciones legales y regulatorias: Dependiendo de la naturaleza de los datos afectados y las leyes de privacidad y protección de datos en vigor, una empresa afectada por EMBARGO puede enfrentar posibles implicaciones legales y regulatorias. Esto puede incluir multas por incumplimiento de normativas de protección de datos, investigaciones gubernamentales y demandas de clientes afectados.

Origen y motivación

El ransomware EMBARGO parece tener su origen en grupos de cibercriminales que buscan obtener beneficios financieros a través de extorsiones digitales. Su motivación principal radica en el lucro, utilizando técnicas de cifrado de datos para secuestrar archivos valiosos de individuos y organizaciones, y luego exigir un rescate a cambio de su liberación. Este tipo de ataques suelen ser perpetrados por grupos organizados que operan en la clandestinidad, aprovechando vulnerabilidades en sistemas informáticos y empleando tácticas de ingeniería social para infiltrarse en redes y dispositivos. El objetivo final es obtener ganancias monetarias de manera rápida y relativamente anónima, explotando la dependencia de las víctimas en sus datos y la urgencia de recuperar el acceso a ellos.