Ursq es un tipo de programa malicioso conocido como ransomware. Este tipo de software se utiliza para bloquear el acceso a los archivos de un usuario al cifrarlos, es decir, convertirlos en datos ilegibles. En el caso de Ursq, una vez que infecta un dispositivo, cifra todos los archivos y cambia sus nombres añadiendo una extensión ".ursq", junto con un identificador único y la dirección de correo electrónico del ciberdelincuente. Por ejemplo, un archivo llamado "foto.jpg" se convierte en algo como "foto.jpg.[identificador].[correo_electronico].ursq". Después de cifrar los archivos, Ursq crea una nota de rescate con el nombre "+README-WARNING+.txt", en la cual los atacantes informan a la víctima que sus archivos han sido cifrados y solicitan un pago para proporcionar las herramientas necesarias para descifrarlos. Sin embargo, incluso si se paga el rescate, no hay garantía de que los ciberdelincuentes realmente devuelvan el acceso a los archivos.

Funcionamiento

. Distribución e Infección Inicial

  • Vectores de Distribución: El ransomware Ursq puede propagarse a través de varios métodos, incluyendo archivos adjuntos en correos electrónicos de phishing, descargas de sitios web comprometidos, publicidad maliciosa, redes P2P, y otros medios. Los correos electrónicos maliciosos suelen contener archivos adjuntos infectados o enlaces a sitios de descarga que alojan el malware.
  • Ejecución Inicial: Una vez descargado y ejecutado en el sistema, el ransomware inicia su proceso de infección. Este suele comenzar con la creación de copias del ejecutable malicioso en directorios críticos del sistema y la modificación del registro para asegurar su persistencia y ejecución al inicio del sistema.

2. Cifrado de Archivos

  • Selección de Archivos: Ursq escanea el sistema en busca de archivos con extensiones específicas (como .jpg, .docx, .pdf, etc.) que son susceptibles de cifrado. Evita cifrar archivos en directorios del sistema para asegurar la estabilidad del sistema operativo.
  • Generación de Claves: Genera una clave de cifrado única para cada sistema infectado. Esta clave se utiliza para cifrar los archivos y luego se cifra nuevamente con una clave pública RSA, lo que hace prácticamente imposible el descifrado sin la clave privada.
  • Proceso de Cifrado: Utiliza algoritmos de cifrado fuertes (generalmente AES-256 para cifrar los archivos y RSA-2048 para cifrar la clave AES). A cada archivo cifrado se le añade una extensión ".ursq" junto con un identificador único y la dirección de correo electrónico del atacante. Por ejemplo, "documento.pdf" se convierte en "documento.pdf.[2AF20FA3].[datahelp2022@keemail.me].ursq".

3. Creación de la Nota de Rescate

  • Nota de Rescate: Después de cifrar los archivos, Ursq crea un archivo de texto llamado "+README-WARNING+.txt" en cada directorio que contiene archivos cifrados. Este archivo contiene instrucciones para la víctima sobre cómo contactar a los atacantes y cómo proceder con el pago del rescate.
  • Contenido de la Nota: La nota indica que los archivos no están dañados sino cifrados, y proporciona un correo electrónico (datahelp2022@keemail.me) y un contacto de TOX para comunicarse con los atacantes. Se advierte a las víctimas que no intenten descifrar los archivos por sí mismas ni utilicen software antivirus, ya que esto podría hacer que los archivos sean indescifrables.

4. Persistencia y Autoprotección

  • Persistencia: Ursq modifica las entradas del registro de Windows para asegurar su ejecución en cada inicio del sistema. Puede crear tareas programadas o modificar las claves de "Run" en el registro.
  • Evasión de Detección: Puede emplear técnicas de ofuscación para evitar la detección por parte de software antivirus. También puede finalizar procesos de seguridad y desactivar servicios de seguridad para evitar su eliminación.

5. Comunicación con el Servidor de Comando y Control (C2)

  • Envío de Claves: Tras el cifrado de los archivos, Ursq puede enviar la clave de cifrado y otra información relevante al servidor C2 controlado por los atacantes. Esto se realiza a través de conexiones de red encriptadas.
  • Recepción de Comandos: El ransomware puede recibir comandos adicionales del servidor C2, como la descarga de otros componentes maliciosos o la actualización de la configuración del ransomware.

6. Impacto y Consecuencias

  • Pérdida de Datos: Todos los archivos cifrados son inaccesibles sin la clave de descifrado que está en posesión de los atacantes.
  • Demanda de Rescate: Los atacantes exigen el pago de un rescate (generalmente en criptomonedas como Bitcoin) a cambio de la clave de descifrado. No hay garantía de que los atacantes proporcionen la clave de descifrado incluso si se paga el rescate.
  • Propagación Secundaria: En algunos casos, el ransomware puede intentar propagarse a otros dispositivos en la misma red mediante el uso de exploits o comparticiones de red no seguras.

7. Recomendaciones de Mitigación

  • Prevención: Mantener copias de seguridad actualizadas y almacenadas en ubicaciones desconectadas, usar software antivirus actualizado, y educar a los usuarios sobre los riesgos de phishing y descarga de software de fuentes no confiables.
  • Detección y Respuesta: Implementar soluciones de monitoreo de red para detectar tráfico inusual, utilizar herramientas de seguridad para la detección de malware, y preparar planes de respuesta a incidentes para actuar rápidamente en caso de infección.

Impacto y consecuencias

1. Pérdida de Acceso a Datos

  • Cifrado de Archivos: Una vez que Ursq cifra los archivos, estos se vuelven inaccesibles sin la clave de descifrado. Los archivos comunes como documentos, imágenes, videos y bases de datos son típicamente objetivos del cifrado. Los nombres de los archivos se modifican para incluir un identificador único y la extensión ".ursq".
  • Interrupción Operacional: Para organizaciones y empresas, la pérdida de acceso a datos críticos puede llevar a interrupciones significativas en las operaciones diarias. Esto puede afectar la productividad, los servicios al cliente y los procesos comerciales esenciales.

2. Demandas de Rescate

  • Extorsión Financiera: Los atacantes exigen un rescate a cambio de proporcionar la clave de descifrado. Este rescate generalmente debe pagarse en criptomonedas como Bitcoin, lo que hace difícil rastrear el pago. Las sumas exigidas pueden variar, pero suelen ser significativas.
  • Riesgo de No Recuperación: Pagar el rescate no garantiza que se recuperarán los archivos. Los ciberdelincuentes pueden no proporcionar la clave de descifrado incluso después de recibir el pago, o la clave proporcionada puede no funcionar correctamente.

3. Posible Pérdida de Datos Irrecuperables

  • Daño a los Archivos: Intentos fallidos de descifrar los archivos o el uso de herramientas de recuperación no autorizadas pueden corromper los archivos cifrados, haciendo que sean irrecuperables incluso si se obtiene la clave de descifrado correcta más tarde.
  • Dependencia de Copias de Seguridad: La única solución viable para recuperar los archivos sin pagar el rescate es restaurar desde copias de seguridad. Si no se tienen copias de seguridad recientes y completas, los datos pueden perderse permanentemente.

4. Compromiso de Seguridad

  • Instalación de Malware Secundario: Ursq puede estar acompañado de otros tipos de malware, como troyanos de acceso remoto (RATs) o keyloggers, que pueden robar información adicional o proporcionar acceso continuo a los atacantes.
  • Vulnerabilidad a Ataques Futuros: Una vez que un sistema ha sido comprometido, puede quedar vulnerable a futuros ataques. Sin una eliminación completa del malware y la implementación de medidas de seguridad mejoradas, los atacantes pueden volver a infectar el sistema.

5. Daños Económicos

  • Costos de Recuperación: Los costos asociados con la recuperación de un ataque de ransomware incluyen no solo el posible pago del rescate, sino también los gastos relacionados con la restauración de sistemas, la recuperación de datos, el tiempo de inactividad y la mejora de las medidas de seguridad.
  • Impacto en la Reputación: Para las empresas, un ataque de ransomware puede dañar la reputación. La pérdida de confianza de los clientes y socios puede tener efectos duraderos en la relación comercial y la posición en el mercado.

6. Repercusiones Legales y de Cumplimiento

  • Violaciones de Datos: Si el ransomware también exfiltra datos, puede llevar a violaciones de datos que deben ser reportadas a las autoridades reguladoras. Esto puede resultar en multas y sanciones, especialmente bajo regulaciones como GDPR o CCPA.
  • Obligaciones de Notificación: Dependiendo de la jurisdicción y la industria, las organizaciones pueden tener la obligación de notificar a las partes afectadas y a las autoridades regulatorias sobre el incidente de seguridad.

7. Impacto Psicológico

  • Estrés y Ansiedad: Para individuos y empleados, la experiencia de un ataque de ransomware puede ser estresante y causar ansiedad, especialmente si se pierden datos personales o críticos. La incertidumbre sobre la recuperación de los datos y las consecuencias financieras puede agravar estos efectos.

Origen y motiovación

El ransomware Ursq, identificado como parte de la familia Makop, se origina en las tácticas sofisticadas de ciberdelincuentes motivados principalmente por ganancias financieras. Estos atacantes diseñan y despliegan ransomware como Ursq para extorsionar a individuos y organizaciones, cifrando sus datos y exigiendo un rescate a cambio de la clave de descifrado. La motivación detrás de Ursq es maximizar los ingresos ilegales explotando la vulnerabilidad de los sistemas y la dependencia de los datos críticos, aprovechando técnicas de ingeniería social, phishing y distribución de software malicioso para lograr sus objetivos.