Craxsrat

De CiberWiki

Craxsrat es un tipo de malware clasificado como ransomware, diseñado para cifrar los archivos de sus víctimas y exigir un pago a cambio de la clave de descifrado. Una vez que infecta el sistema, Craxsrat modifica los nombres de los archivos añadiendo la extensión “.craxsrat” y genera una nota de rescate titulada HELP_DECRYPT_YOUR_FILES.txt, donde se exige un pago de 50 dólares en Bitcoin para recuperar los datos cifrados mediante el algoritmo RSA.

El ransomware se propaga principalmente a través de técnicas de ingeniería social y phishing, como archivos adjuntos maliciosos en correos electrónicos, descargas desde sitios no confiables, o herramientas ilegales de activación de software. Aunque el monto del rescate es relativamente bajo, no existen garantías de que los ciberdelincuentes proporcionen el software de descifrado tras el pago. Además, algunos informes sugieren que el malware puede estar vinculado a otras amenazas como troyanos o ladrones de contraseñas.

Actualmente no existe un descifrador gratuito para Craxsrat, por lo que la única forma confiable de recuperar los archivos afectados es mediante copias de seguridad previas. Se recomienda no pagar el rescate, eliminar el malware con software de seguridad legítimo y fortalecer las prácticas de protección de datos para evitar futuras infecciones.

Funcionamiento

1. Vector de infección y entrega del malware:

Craxsrat se propaga utilizando métodos tradicionales de distribución de malware, como campañas de phishing, archivos adjuntos maliciosos en correos electrónicos (principalmente documentos con macros, archivos comprimidos o ejecutables), descarga desde sitios no verificados (drive-by downloads), software crackeado, anuncios maliciosos y técnicas de ingeniería social. En algunos casos, también se distribuye mediante troyanos loader/backdoor que introducen el ransomware en sistemas previamente comprometidos.

Una vez descargado y ejecutado en el sistema víctima, Craxsrat despliega un ejecutable malicioso generalmente ofuscado para evadir la detección por antivirus. Este ejecutable puede estar empaquetado con utilidades como UPX o técnicas personalizadas de code packing para dificultar el análisis estático. El malware se ejecuta con privilegios del usuario afectado, aunque puede intentar elevar privilegios si detecta que no tiene acceso suficiente para cifrar archivos clave.

2. Rutinas de cifrado y modificación de archivos:

Craxsrat inicia su operación escaneando el sistema de archivos en busca de tipos de archivos comúnmente utilizados, como documentos, imágenes, bases de datos y archivos multimedia (extensiones como .docx, .xlsx, .jpg, .png, .pdf, .sql, etc.). Utiliza un algoritmo criptográfico asimétrico RSA, donde cada archivo es cifrado con una clave pública, y la clave privada necesaria para descifrar se mantiene en poder del atacante.

Durante el proceso, Craxsrat realiza las siguientes acciones técnicas:

  • Crea un identificador único de víctima (personal ID) que se asocia con la clave de cifrado.
  • Añade la extensión “.craxsrat” a cada archivo cifrado.
  • Impide el acceso o apertura de los archivos modificando sus cabeceras y permisos.
  • Borra las shadow copies y desactiva la restauración del sistema usando comandos como vssadmin delete shadows /all /quiet o wmic shadowcopy delete.
  • Puede eliminar puntos de restauración del sistema (bcdedit /set {default} recoveryenabled No) para evitar recuperación manual.
  • Genera la nota de rescate HELP_DECRYPT_YOUR_FILES.txt en múltiples ubicaciones del sistema (escritorio, carpetas afectadas) con instrucciones específicas de pago.

3. Comunicación y persistencia:

Craxsrat no utiliza un canal C2 complejo; en lugar de establecer comunicación directa con un servidor remoto, el malware funciona de manera offline. Toda la información necesaria se incluye en la nota de rescate, incluyendo el correo electrónico del atacante (ransombiz@tutamail.com) y la dirección de la cartera de Bitcoin para el pago (172etnw7yrnrpbks8gzbj2j7tm87smfyrm). El proceso de descifrado se ofrece como prueba para un único archivo, incentivando el pago mediante confianza parcial.

En cuanto a la persistencia, Craxsrat puede añadir claves de inicio automático en el registro de Windows (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) o instalar un servicio/scheduled task para ejecutarse tras el reinicio. Sin embargo, en muchas variantes, este comportamiento es opcional, ya que su principal objetivo es el cifrado inmediato tras la infección.

Impacto y consecuencias

Craxsrat, como familia de ransomware, causa un conjunto de impactos devastadores a nivel técnico, operativo y de seguridad. Su diseño está enfocado principalmente en la interrupción crítica de los servicios informáticos, la inaccesibilidad de datos clave y el chantaje económico mediante extorsión. A continuación, se detallan los efectos por áreas:

🧠 1. Impacto sobre la Integridad y Disponibilidad de los Datos

  • Cifrado Irreversible: Craxsrat cifra archivos utilizando algoritmos criptográficos robustos (normalmente RSA) sin errores conocidos, lo que impide su recuperación por medios forenses convencionales sin la clave privada del atacante.
  • Alteración de la estructura de archivos: Modifica las cabeceras y extensiones de los archivos (por ejemplo, .craxsrat), haciendo que los sistemas operativos y programas no puedan identificarlos ni ejecutarlos.
  • Inaccesibilidad Total: Todos los documentos personales, hojas de cálculo, imágenes, bases de datos, copias de trabajo y archivos del sistema son inutilizables.

🧩 2. Impacto en la Continuidad Operativa

  • Paralización de procesos empresariales: Sistemas críticos se detienen al no poder acceder a archivos, bases de datos o configuraciones esenciales.
  • Cadenas de producción o servicios interrumpidos: En entornos industriales o corporativos, los sistemas SCADA, ERPs, CRMs u otros se ven comprometidos al perder acceso a los datos operativos.
  • Desfase en entregables y pérdida de productividad: Equipos y usuarios quedan inactivos mientras se intenta mitigar el ataque o se negocia con los atacantes.

🖥️ 3. Impacto en la Infraestructura de TI

  • Eliminación de puntos de recuperación: Craxsrat ejecuta comandos como vssadmin delete shadows o bcdedit para eliminar copias de seguridad locales.
  • Desactivación de restauración del sistema: Impide revertir el estado del sistema operativo a puntos estables previos a la infección.
  • Persistencia post-infección: Puede registrar tareas programadas o entradas en el registro para ejecutarse nuevamente tras el reinicio, aunque su principal actividad es inmediata.

🔐 4. Impacto en la Seguridad de la Información

  • Filtración potencial de información: Aunque Craxsrat está orientado al cifrado, algunas variantes modernas podrían incorporar módulos de exfiltración como parte de una campaña de doble extorsión (no confirmado de forma general, pero posible).
  • Modificación de políticas de seguridad local: Puede alterar configuraciones del sistema para evadir antivirus, cortafuegos o soluciones EDR.
  • Posible exposición de credenciales: Si se ejecuta en sistemas donde el usuario tiene privilegios de administrador, podría extraer tokens de acceso, credenciales almacenadas y contraseñas de navegadores, aumentando el riesgo de lateralización.

📉 5. Consecuencias Financieras y Legales

  • Pago de rescates: El atacante exige pagos en criptomonedas (habitualmente Bitcoin), cuyo monto puede ir desde cientos hasta miles de dólares, dependiendo del objetivo.
  • Multas regulatorias: Empresas sujetas a normativas como GDPR, HIPAA, PCI-DSS o Ley 1581 (Colombia) pueden enfrentarse a sanciones por pérdida de datos personales o sensibles.
  • Costos de recuperación: Además del pago del rescate (no recomendado), existen costos asociados a:
    • Restablecimiento de infraestructura
    • Análisis forense
    • Refuerzo de seguridad
    • Capacitación posterior

🎯 6. Consecuencias Estratégicas y de Reputación

  • Pérdida de confianza de clientes y socios: Los incidentes de ransomware pueden divulgarse públicamente y afectar la imagen corporativa.
  • Interrupción contractual: En sectores como logística, salud, o servicios públicos, puede generar incumplimientos contractuales o incluso demandas civiles.
  • Fuga de clientes: Al no garantizar la protección de la información, las organizaciones afectadas pueden enfrentar cancelaciones de servicio o pérdida de usuarios.

📊 7. Impacto a Nivel de Sistema y Registro Forense

  • Creación de logs falsos o corrupción de eventos: Puede alterar el registro de eventos del sistema (Windows Event Logs) para dificultar el análisis posterior.
  • Evidencia de infección:
    • Presencia de archivos .craxsrat
    • Nota de rescate HELP_DECRYPT_YOUR_FILES.txt
    • Claves maliciosas en el registro
    • Actividad inusual de red (cuando se acompaña de tráfico C2)
  • Dificultad en la atribución: Debido al uso de correos anónimos y criptomonedas, rastrear a los actores detrás de Craxsrat es extremadamente difícil.

Origen y motivación

Craxsrat tiene su origen en entornos delictivos digitales donde fue desarrollado como un ransomware de bajo perfil, diseñado para cifrar archivos personales de las víctimas y exigir un rescate económico accesible (50 USD en Bitcoin), lo que sugiere que su motivación no está orientada a grandes campañas corporativas sino al lucro rápido y masivo dirigido a usuarios domésticos o individuos vulnerables; esta estrategia de “ransomware económico” busca maximizar la cantidad de víctimas que deciden pagar, al hacer que el rescate parezca asumible, y se apoya en técnicas comunes de ingeniería social, correos electrónicos maliciosos y descargas desde sitios no confiables para propagarse, reflejando una intención clara de obtener beneficios financieros con un esfuerzo técnico relativamente bajo.

Obtenido de «https://darfe.es/ciberwiki/index.php?title=Craxsrat&oldid=2493»