Risen es una variante de ransomware que se infiltra en los sistemas a través de correos electrónicos maliciosos y otros vectores de infección, cifrando archivos en el sistema afectado mediante un algoritmo de cifrado robusto. Una vez activado, Risen renombra los archivos cifrados añadiendo una extensión que incluye una dirección de correo electrónico y un ID de usuario, lo que complica la recuperación de datos sin la clave de descifrado. El ransomware también genera dos archivos de notas de rescate, "$Risen_Note.txt" y "$Risen_Guide.hta", que instruyen a las víctimas sobre cómo pagar el rescate y amenazan con filtrar o vender datos críticos si no se cumple la demanda. Además, modifica el fondo de escritorio y muestra un mensaje previo al inicio de sesión para asegurar que las víctimas vean sus amenazas. Mientras permanece activo, Risen puede continuar cifrando archivos y propagarse a otros dispositivos en la red local, aumentando el daño y complicando aún más la recuperación sin pagar el rescate.

Funcionamiento

  • Distribución e Infección: Risen se propaga a través de correos electrónicos maliciosos, sitios web comprometidos, software pirata, y redes P2P. Los usuarios se infectan al abrir archivos adjuntos infectados o descargar software desde fuentes no confiables.
  • Ejecución y Cifrado: Una vez ejecutado en el sistema, Risen inicia un proceso de cifrado que afecta todos los archivos del dispositivo. Utiliza un algoritmo de cifrado fuerte, como AES, para encriptar los datos. Durante el cifrado, el ransomware renombra cada archivo afectado agregando una extensión que incluye una dirección de correo electrónico y un ID de usuario único, por ejemplo, file.jpg.Default@firemail.de.E86EQNTPTT.
  • Creación de Notas de Rescate: Risen genera dos archivos de notas de rescate en el sistema infectado: $Risen_Note.txt y $Risen_Guide.hta. Estos archivos proporcionan instrucciones a la víctima sobre cómo contactar a los atacantes y pagar el rescate. Las notas también incluyen amenazas de filtración o venta de datos si no se cumple con el pago.
  • Modificación del Sistema: El ransomware cambia el fondo de escritorio de la víctima y presenta un mensaje de advertencia antes del inicio de sesión, garantizando que la víctima vea las instrucciones para el pago del rescate cada vez que intente usar el sistema.
  • Comunicación y Amenazas: Risen utiliza direcciones de correo electrónico específicas (default1@tutamail.com y default@firemail.de) para comunicarse con las víctimas. Los atacantes también ofrecen descifrar hasta tres archivos como prueba gratuita para demostrar la viabilidad de su herramienta de descifrado. Las notas de rescate advierten que las copias de seguridad también están cifradas y que los datos robados serán vendidos o filtrados si no se paga el rescate.
  • Persistencia y Propagación: Risen tiene la capacidad de persistir en el sistema y puede propagarse a otros dispositivos en la red local, causando daños adicionales y cifrando más archivos en sistemas conectados.
  • Eliminación: Mientras el ransomware sigue activo, continúa cifrando archivos y extendiendo el daño. La eliminación de Risen debe ser inmediata para evitar una mayor propagación y cifrado de datos.

Impacto y consecuencias

El impacto y las consecuencias del ransomware Risen son significativos y se manifiestan de la siguiente manera:

  1. Cifrado de Datos: Risen cifra todos los archivos en el sistema infectado utilizando un algoritmo de cifrado robusto. Los archivos afectados son renombrados con una extensión que incluye una dirección de correo electrónico y un ID de usuario, haciendo imposible el acceso a los datos sin la clave de descifrado proporcionada por los atacantes.
  2. Interrupción de Operaciones: La infección con Risen puede paralizar las operaciones normales de una organización o individuo. La incapacidad para acceder a archivos críticos afecta la productividad y puede interrumpir procesos empresariales esenciales.
  3. Modificación del Sistema: Risen altera el fondo de escritorio y muestra un mensaje de rescate antes del inicio de sesión. Esto asegura que la víctima vea la demanda de rescate cada vez que intente utilizar el sistema, aumentando la presión para pagar el rescate.
  4. Amenazas de Exfiltración de Datos: Las notas de rescate de Risen advierten que los datos críticos han sido robados y serán filtrados o vendidos si no se paga el rescate. Esto plantea un riesgo adicional de violación de datos y exposición de información sensible.
  5. Propagación en la Red Local: Risen tiene la capacidad de propagarse a otros dispositivos conectados en la red local. Esto puede llevar a una infección masiva dentro de una red empresarial, cifrando archivos en múltiples sistemas y extendiendo el impacto del ataque.
  6. Costos de Recuperación: Recuperarse de una infección por ransomware como Risen implica costos significativos. Esto incluye gastos asociados con la recuperación de datos (si se dispone de copias de seguridad), la eliminación del ransomware, y la posible compra de herramientas de descifrado o asistencia profesional en ciberseguridad.
  7. Riesgo de Estafa: Pagar el rescate no garantiza la recuperación de los archivos. Los atacantes pueden no proporcionar una herramienta de descifrado funcional o pueden intentar estafar a las víctimas con pagos adicionales. Además, incluso si se recibe una herramienta de descifrado, esta podría ser defectuosa o no recuperar todos los datos.
  8. Pérdida de Confianza y Reputación: Para las organizaciones, un ataque de ransomware como Risen puede dañar seriamente la reputación y la confianza de los clientes. La pérdida de datos sensibles y la exposición de información crítica pueden afectar la relación con clientes y socios comerciales.
  9. Eliminación y Remediación: La eliminación del ransomware y la remediación de las vulnerabilidades explotadas por Risen requieren un análisis exhaustivo y una acción rápida para evitar más daños. La remediación también puede involucrar la actualización de sistemas, la mejora de las medidas de seguridad, y la educación de los usuarios para prevenir futuras infecciones.

Origen y motivación

Risen ransomware parece tener su origen en un entorno de ciberdelincuencia altamente organizado, con una motivación centrada en obtener beneficios económicos mediante la extorsión. Este ransomware se propaga principalmente a través de correos electrónicos maliciosos y sitios web comprometidos, aprovechando vulnerabilidades en sistemas y el comportamiento descuidado de los usuarios. Su motivación radica en la explotación de la información crítica cifrada para presionar a las víctimas a pagar un rescate en bitcoins, prometiendo el descifrado de archivos como medio para recuperar el acceso a datos vitales. Además, Risen exhibe características de ransomware en desarrollo, como lo sugieren las direcciones de correo electrónico genéricas utilizadas para el contacto, indicando una estrategia en evolución para maximizar el impacto y las ganancias del ataque.