Allock
El ransomware Allock, parte de la familia MedusaLocker, es un malware que se dirige principalmente a empresas. Su propósito es encriptar archivos en los sistemas infectados, añadiendo una extensión ".allock8" a los nombres de los archivos afectados. Tras completar el cifrado, el ransomware deja una nota de rescate llamada "how_to_back_files.html", en la que se informa a las víctimas que sus datos han sido secuestrados y que para recuperarlos deben pagar a los atacantes.
En la nota de rescate, los ciberdelincuentes advierten que intentar restaurar los archivos sin su ayuda puede causar daños permanentes, y también amenazan con filtrar datos confidenciales robados si la víctima se niega a pagar. Como táctica de persuasión, ofrecen descifrar algunos archivos gratuitamente como prueba de que pueden restaurar los datos. Además, si no se contacta con ellos en un plazo de 72 horas, el monto del rescate aumentará.
Aunque Allock ofrece la posibilidad de recuperar los archivos mediante un pago, las experiencias con este tipo de ransomware indican que el descifrado suele ser imposible sin intervención directa de los atacantes, y muchas víctimas no reciben las herramientas prometidas incluso después de pagar. Por esta razón, se recomienda no cumplir con las exigencias y, en cambio, restaurar los archivos desde copias de seguridad, si están disponibles.
Funcionamiento
El ransomware Allock es una variante de la familia MedusaLocker, conocida por su capacidad de encriptar archivos en sistemas comprometidos utilizando algoritmos de cifrado avanzados como RSA y AES. El funcionamiento técnico de Allock sigue un flujo de varias etapas que incluye la infección inicial, el cifrado de archivos, la persistencia en el sistema, la comunicación con los atacantes y la creación de una nota de rescate para exigir el pago.
1. Infección inicial y persistencia
La infección de Allock comienza a través de vectores de ataque comunes como correos electrónicos de phishing con archivos adjuntos maliciosos, descargas de software comprometido, o ataques de RDP (Protocolo de Escritorio Remoto) en sistemas con configuraciones de seguridad débiles. El ransomware puede estar oculto en archivos adjuntos o paquetes de instalación que, al ser ejecutados por la víctima, inician el proceso de infección.
Una vez en el sistema, Allock realiza varias acciones para asegurar su persistencia. Crea o modifica entradas en el registro de Windows para garantizar que se ejecute automáticamente cada vez que el sistema se reinicia. Además, el ransomware puede terminar o deshabilitar procesos de seguridad, incluidos antivirus y software de detección de malware, para evitar su eliminación. También elimina copias de seguridad y "shadow copies" (copias de volumen sombra) utilizando comandos como vssadmin delete shadows
, lo que dificulta que las víctimas recuperen sus archivos sin pagar el rescate.
2. Proceso de cifrado
Una de las principales características de Allock es su uso de cifrado de alta complejidad para bloquear los archivos del sistema. Emplea un esquema de cifrado híbrido que combina AES (Advanced Encryption Standard) para cifrar los archivos y RSA (Rivest-Shamir-Adleman) para proteger la clave AES utilizada. Este enfoque es común en ransomware sofisticado, ya que permite encriptar archivos de manera rápida y eficiente con AES, mientras que la clave AES está protegida con RSA, lo que garantiza que solo los atacantes puedan acceder a ella.
Cuando Allock se ejecuta, primero escanea el sistema en busca de archivos susceptibles de ser encriptados. Este ransomware excluye ciertos archivos y directorios críticos para el funcionamiento del sistema operativo (como archivos del sistema en carpetas de Windows) para evitar la inestabilidad del sistema que podría delatar su presencia. Los archivos objetivo incluyen documentos, imágenes, bases de datos, y archivos de proyectos, entre otros. Cada archivo encriptado es renombrado con la extensión “.allock8” (el número puede variar dependiendo de la variante).
El cifrado se realiza de manera asimétrica. Cada archivo encriptado está bloqueado con una clave única AES generada en el sistema de la víctima. Esa clave es luego encriptada usando la clave pública RSA de los atacantes, lo que hace imposible descifrar los archivos sin tener la clave privada RSA correspondiente.
3. Comunicación y rescate
Una vez que el cifrado está completo, Allock genera una nota de rescate titulada "how_to_back_files.html". Esta nota es colocada en ubicaciones visibles, como el escritorio de la víctima, para asegurarse de que se vea. El contenido del mensaje informa a las víctimas que sus archivos han sido encriptados y que la única manera de recuperarlos es pagando un rescate. Además, la nota suele contener instrucciones sobre cómo acceder a una página en la red Tor o enviar un correo electrónico a las direcciones de contacto proporcionadas por los atacantes. Los ciberdelincuentes ofrecen pruebas del descifrado, permitiendo que la víctima envíe hasta tres archivos para descifrarlos sin costo, lo que busca crear confianza en la viabilidad del rescate.
La comunicación entre la víctima y los atacantes suele realizarse a través de Tor, lo que permite a los ciberdelincuentes mantener su anonimato y dificultar su rastreo. Si la víctima no paga el rescate en el tiempo indicado (normalmente 72 horas), se les informa que el precio aumentará, y en algunos casos se amenaza con la divulgación o venta de datos confidenciales robados durante el ataque.
Impacto y consecuencias
El impacto y las consecuencias del ransomware Allock pueden ser devastadores, afectando tanto a organizaciones como a individuos. Este tipo de malware tiene implicaciones técnicas, operativas y financieras, que pueden ir desde la pérdida temporal o permanente de datos hasta el daño a la reputación y la pérdida de confianza de los clientes. A continuación, se describe en detalle el impacto y las consecuencias de Allock:
1. Impacto en los datos y la operación
Uno de los impactos más inmediatos y críticos de Allock es la pérdida de acceso a los datos. Dado que este ransomware utiliza algoritmos de cifrado avanzados (AES y RSA) para encriptar los archivos de la víctima, todos los archivos cruciales para la operación del sistema, como documentos, bases de datos, imágenes y archivos de proyectos, quedan inaccesibles. Esto puede paralizar las operaciones normales de una organización, especialmente si no se dispone de copias de seguridad actualizadas. Las empresas dependen de la integridad y disponibilidad de sus datos para operar, y perder acceso a ellos incluso por un corto período puede tener repercusiones graves.
Consecuencias a corto plazo:
- Interrupción operativa: Dependiendo de la cantidad de archivos afectados y su importancia para el negocio, las actividades cotidianas, como la producción, el servicio al cliente y la toma de decisiones, pueden verse interrumpidas. Los empleados pueden ser incapaces de acceder a sistemas críticos, lo que puede detener la producción, generar retrasos en proyectos, y alterar la cadena de suministro.
- Pérdida de productividad: La pérdida de archivos esenciales para el funcionamiento de software, como bases de datos o archivos de configuración, puede obligar a detener por completo los sistemas infectados. El tiempo necesario para investigar la infección, restaurar sistemas desde las copias de seguridad (si las hay) y reconstruir la infraestructura puede resultar en una importante pérdida de productividad.
Consecuencias a largo plazo:
- Pérdida permanente de datos: Si las copias de seguridad no están disponibles o han sido comprometidas (por ejemplo, si Allock elimina copias de volumen sombra y backups conectados), la pérdida de datos podría ser permanente, lo que afectaría tanto la operación diaria como la capacidad de la organización para cumplir con sus obligaciones contractuales y regulatorias.
- Afectación a la continuidad del negocio: Para muchas empresas, la recuperación de un ataque de ransomware puede ser lenta y costosa, especialmente si no cuentan con un plan de respuesta a incidentes. Esto puede dañar gravemente la continuidad operativa y prolongar el tiempo de inactividad.
2. Consecuencias financieras
El impacto financiero de Allock puede manifestarse de varias maneras. Los costos directos incluyen el pago del rescate, si la víctima opta por ceder a las demandas de los atacantes. Sin embargo, los costos indirectos suelen ser mucho más significativos y duraderos.
Costos directos:
- Pago de rescate: Aunque no siempre se recomienda pagar el rescate debido a la falta de garantías de recuperación y la posibilidad de fomentar más ataques, muchas organizaciones optan por hacerlo. Los montos exigidos pueden variar, pero suelen oscilar entre miles y millones de dólares, dependiendo del tamaño de la organización y la criticidad de los datos cifrados. En algunos casos, los atacantes pueden incrementar el rescate si la víctima no paga en el tiempo indicado.
- Costos de recuperación: Aunque se pague el rescate y se reciba la clave de descifrado, la recuperación de archivos puede llevar tiempo y esfuerzo, lo que genera costos adicionales en términos de horas laborales dedicadas a restaurar sistemas y asegurar la infraestructura.
Costos indirectos:
- Pérdida de ingresos: La interrupción de las operaciones puede generar pérdida de oportunidades de negocio y clientes. Esto es particularmente significativo para industrias que dependen de operaciones continuas, como la manufactura, servicios financieros y servicios en la nube. La pérdida de acceso a datos críticos puede llevar a la incapacidad de cumplir con contratos, plazos y compromisos, lo que afecta directamente los ingresos.
- Gastos en seguridad y recuperación: Después de un ataque de ransomware como Allock, las organizaciones a menudo invierten en nuevas soluciones de seguridad, capacitación y mejoras de infraestructura para evitar futuros ataques. Esto puede incluir la implementación de mejores prácticas de seguridad, auditorías de sistemas, y el fortalecimiento de políticas de respaldo.
- Posibles multas y sanciones regulatorias: En algunos casos, las organizaciones afectadas pueden enfrentar sanciones regulatorias si los datos comprometidos están relacionados con información confidencial o regulada, como información personal de clientes (PII) o datos de salud (PHI). Cumplir con leyes como GDPR, HIPAA o PCI-DSS puede generar multas considerables en caso de incumplimiento.
3. Consecuencias reputacionales
El impacto en la reputación de una organización es una de las consecuencias más difíciles de cuantificar, pero no por ello menos grave. La percepción pública de una empresa puede sufrir considerablemente tras un ataque de ransomware, especialmente si los datos comprometidos incluyen información sensible de clientes.
- Pérdida de confianza del cliente: Las organizaciones que sufren una violación de seguridad grave corren el riesgo de perder la confianza de sus clientes y socios comerciales. Los clientes pueden temer que sus datos personales estén comprometidos y buscar alternativas más seguras. Esta pérdida de confianza puede ser duradera y difícil de restaurar, especialmente en sectores como los servicios financieros o la atención médica, donde la seguridad de los datos es fundamental.
- Daño a la imagen pública: Dependiendo de la magnitud del ataque y la naturaleza de los datos afectados, la cobertura mediática puede amplificar el daño reputacional. Las organizaciones que no gestionan adecuadamente la comunicación sobre una violación de seguridad pueden verse afectadas por una mala imagen pública, lo que puede llevar a una caída en el valor de las acciones y pérdida de oportunidades comerciales.
4. Consecuencias legales
El ransomware Allock, como otras variantes, puede desencadenar una serie de problemas legales para las organizaciones afectadas. Si el ataque implica la filtración o el robo de datos personales, las víctimas pueden enfrentar demandas de los clientes cuyos datos fueron comprometidos. Además, pueden ser responsables de informar a las autoridades de protección de datos y otros reguladores, lo que conlleva posibles investigaciones y sanciones.
Origen y motivación
El ransomware Allock pertenece a la familia de ransomware MedusaLocker y se origina de un entorno criminal cibernético que busca obtener beneficios financieros a través de la extorsión. Su motivación principal es cifrar los datos de las víctimas, normalmente empresas, para exigir un rescate a cambio de las herramientas necesarias para recuperar el acceso a sus archivos. Los atacantes detrás de Allock emplean tácticas de phishing y otras formas de ingeniería social para infiltrarse en sistemas, lo que les permite no solo encriptar archivos, sino también amenazar con la filtración de datos confidenciales si la víctima no paga el rescate en un plazo determinado. Este enfoque se alinea con la tendencia creciente en el cibercrimen, donde el ransomware se ha convertido en un modelo de negocio lucrativo para los ciberdelincuentes, quienes operan de manera organizada y a menudo utilizan infraestructuras ocultas como la red Tor para comunicarse y realizar transacciones de manera anónima.