Jackalock
Jackalock es un tipo de ransomware perteneciente a la familia MedusaLocker, identificado por investigadores tras analizar archivos subidos a VirusTotal. Este malware cifra los archivos de las víctimas y añade la extensión “.jackalock” a cada uno de ellos, haciéndolos inaccesibles. Una vez completado el cifrado, Jackalock deja una nota de rescate en formato HTML llamada “READ_NOTE.html”, en la que se exige el pago de un rescate a cambio de la herramienta de descifrado. La nota también indica que los archivos fueron cifrados utilizando los algoritmos criptográficos RSA y AES, y advierte que cualquier intento de recuperación sin su herramienta podría dañar los datos permanentemente.
El ransomware no solo bloquea los archivos, sino que también exfiltra información confidencial de los sistemas comprometidos. Los atacantes amenazan con publicar los datos robados si no se establece contacto en un plazo de 72 horas, incrementando así la presión sobre la víctima. La comunicación con los operadores se establece mediante direcciones de correo en dominios sospechosos y un sitio alojado en la red Tor, lo cual dificulta su rastreo. Aunque el descifrado sin intervención de los atacantes es prácticamente imposible, el pago del rescate no garantiza la recuperación de los archivos.
Jackalock se propaga principalmente a través de archivos adjuntos infectados en correos electrónicos, descargas de sitios no oficiales y actualizaciones falsas, entre otros métodos de ingeniería social. Para prevenir infecciones similares, se recomienda mantener una política de copias de seguridad fuera de línea, utilizar software legítimo y actualizado, y emplear soluciones de seguridad confiables con análisis periódicos. La eliminación del malware puede hacerse con herramientas como Combo Cleaner, pero los archivos cifrados solo pueden recuperarse desde una copia de seguridad previa.
Funcionamiento
Jackalock es una variante de ransomware perteneciente a la familia MedusaLocker, diseñada para cifrar los archivos de una víctima, extorsionarla económicamente y amenazar con la publicación de sus datos sensibles si no paga el rescate exigido. Su funcionamiento involucra múltiples etapas técnicas que incluyen mecanismos de persistencia, cifrado híbrido, exfiltración de datos y presentación de un entorno de presión psicológica mediante mensajes de rescate.
1. Fase de infiltración e inicialización
Jackalock se propaga a través de métodos comunes de distribución de malware, como campañas de phishing, archivos adjuntos infectados, enlaces maliciosos, actualizaciones falsas, y descargas desde sitios de dudosa reputación. Una vez que la víctima ejecuta el archivo malicioso (por lo general un ejecutable o documento con macros), Jackalock se autoinstala en el sistema e inicia un proceso de elevación de privilegios para ejecutarse con derechos administrativos. Este paso es fundamental para garantizar el cifrado completo del sistema y modificar claves del registro.
Jackalock además puede propagarse lateralmente a través de redes locales si detecta vulnerabilidades abiertas (como SMB expuesto) o por medio de dispositivos extraíbles conectados al sistema, replicándose en ellos.
2. Persistencia y evasión
Para asegurar su permanencia en el sistema tras reinicios, Jackalock crea entradas en el registro de Windows, comúnmente en rutas como HKCU\Software\Microsoft\Windows\CurrentVersion\Run o HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, apuntando a su ejecutable. También puede utilizar tareas programadas para ejecutarse periódicamente.
Con el fin de evitar detección, implementa técnicas de obfuscation y puede deshabilitar funciones de restauración del sistema como la protección de archivos de Windows o puntos de restauración, dificultando la recuperación. Algunos ejemplares también terminan procesos relacionados con software de backup o antivirus, haciendo uso de herramientas como taskkill.exe.
3. Proceso de cifrado y modificación de archivos
Una vez asegurada su ejecución persistente, Jackalock escanea todos los discos locales, unidades de red mapeadas y dispositivos externos conectados. Utiliza una combinación de algoritmos criptográficos AES (Advanced Encryption Standard) para cifrar los archivos y RSA (Rivest-Shamir-Adleman) para cifrar las claves AES generadas. Esta técnica híbrida garantiza que solo los atacantes puedan descifrar los archivos si poseen la clave privada RSA.
Durante el cifrado, añade la extensión .jackalock a cada archivo cifrado (por ejemplo, foto.jpg se convierte en foto.jpg.jackalock), lo cual es una marca típica del ransomware. Jackalock evita cifrar archivos del sistema y ciertas rutas esenciales para asegurar que el sistema continúe operativo (y que la víctima pueda leer el mensaje de rescate y pagar).
4. Nota de rescate y extorsión
Después de cifrar los archivos, Jackalock deja una nota de rescate en formato HTML llamada READ_NOTE.html, y cambia el fondo de pantalla del escritorio de la víctima para asegurarse de que vea el mensaje. En la nota, se informa a la víctima que sus archivos han sido cifrados con RSA+AES y se le advierte que cualquier intento de recuperación con software externo podría causar daños permanentes.
Además, Jackalock afirma haber robado datos personales y amenaza con su publicación si no se paga el rescate. Se da un plazo de 72 horas antes de aumentar el costo del rescate, lo cual ejerce presión psicológica sobre la víctima. Como prueba de descifrado, se ofrece recuperar gratuitamente 2-3 archivos no importantes. El contacto se establece mediante correo electrónico o a través de un sitio en la red Tor.
5. Exfiltración de datos y consecuencias
Aunque la nota de rescate menciona que se han extraído datos, esto puede variar según la variante activa. Algunas versiones de MedusaLocker y sus derivados como Jackalock implementan módulos de exfiltración, mediante los cuales recopilan documentos confidenciales y los transfieren a servidores remotos controlados por los atacantes, generalmente ubicados en redes Tor o en infraestructura comprometida.
Esta amenaza doble —cifrado + filtración— es conocida como double extortion y ha sido una tendencia creciente en el ecosistema del ransomware moderno. La filtración de datos puede tener consecuencias legales, reputacionales y financieras para las organizaciones afectadas.
Impacto y consecuencias
El impacto y las consecuencias técnicas del ransomware Jackalock, como variante avanzada de la familia MedusaLocker, pueden ser severas y multifacéticas, afectando tanto la disponibilidad, integridad y confidencialidad de los sistemas y datos comprometidos, como los procesos operativos, regulatorios y económicos de las organizaciones atacadas.
IMPACTO TÉCNICO
1. Pérdida de disponibilidad de la información
Jackalock cifra archivos en masa mediante algoritmos de cifrado simétrico (AES) combinados con cifrado asimétrico (RSA), afectando todos los tipos de archivos críticos (documentos, bases de datos, hojas de cálculo, imágenes, archivos comprimidos, etc.) en:
- Discos locales
- Unidades de red mapeadas
- Dispositivos externos conectados (USB, HDDs)
- Algunos casos, rutas compartidas por SMB si están accesibles
Esto genera una interrupción inmediata en la operatividad, ya que los usuarios no pueden acceder a sus datos ni continuar con sus flujos de trabajo. Los servicios que dependen de los archivos cifrados (como bases de datos, sistemas contables, servidores web) pueden fallar o dejar de responder.
2. Interrupción de servicios críticos
Jackalock puede afectar servicios empresariales clave al cifrar:
- Archivos de configuración de software de gestión empresarial (ERP, CRM)
- Repositorios de código fuente y herramientas de desarrollo
- Documentos legales y financieros
- Sistemas de respaldo si están montados como unidades accesibles
Además, interrumpe servicios locales mediante la finalización forzada de procesos (por ejemplo, sqlservr.exe, outlook.exe, excel.exe), interrumpiendo sesiones activas y provocando corrupción de datos en memoria.
3. Impacto en la infraestructura de red
La variante Jackalock puede tener capacidades limitadas de movimiento lateral, aunque suele intentar alcanzar recursos compartidos por red. En redes corporativas mal segmentadas, puede afectar múltiples sistemas simultáneamente, propagándose por medio de:
- Exploits SMB (si no se han parcheado)
- Acceso a credenciales administrativas mediante herramientas como Mimikatz
- Dispositivos de almacenamiento portátiles
Esto aumenta el radio de impacto, comprometiendo equipos críticos más allá del punto de entrada original.
4. Alteración de configuraciones del sistema
Jackalock modifica configuraciones del sistema para impedir la recuperación de datos:
- Deshabilita la Restauración del Sistema (
vssadmin delete shadows /all) - Elimina copias de seguridad del historial de archivos y puntos de restauración
- Desactiva el arranque seguro o configuraciones del UAC si tiene privilegios elevados
- Crea tareas programadas maliciosas para garantizar la persistencia
Este tipo de acciones perjudica la integridad del entorno operativo, y obliga a procedimientos de restauración más complejos.
5. Exfiltración de información sensible (impacto en confidencialidad)
Aunque no todos los ejemplares de Jackalock tienen esta funcionalidad, algunos casos documentados reportan la exfiltración de documentos antes del cifrado, incluyendo:
- Información financiera y contable
- Bases de datos de clientes y empleados
- Correspondencia por correo electrónico
- Contraseñas almacenadas o documentos de autenticación
Esta información puede ser usada para:
- Extorsión adicional mediante "doble chantaje"
- Venta en foros de la dark web
- Ataques posteriores dirigidos (por ejemplo, spear phishing)
Esto convierte el incidente en una violación de datos regulada (GDPR, HIPAA, Ley 1581 en Colombia), lo que obliga a notificaciones y posibles sanciones.
CONSECUENCIAS ORGANIZACIONALES Y OPERATIVAS
6. Impacto financiero directo
- Costos de rescate (si la organización decide pagar): entre $5,000 y $500,000 en criptomonedas
- Costos de recuperación (rescate no garantiza descifrado)
- Pérdidas por inactividad operacional (downtime)
- Gastos en servicios forenses, de recuperación y legales
- Inversión forzada en tecnologías de seguridad post-incidente
Según estimaciones del sector, el costo medio de un ataque de ransomware puede superar los $1.8 millones USD considerando todos los factores colaterales.
7. Consecuencias legales y regulatorias
- Incumplimiento de normas de protección de datos si hay fuga de información personal
- Sanciones impuestas por entes regulatorios (Superintendencia de Industria y Comercio en Colombia)
- Demandas civiles por parte de afectados cuyos datos fueron filtrados
- Obligación de divulgación pública del incidente y notificación a víctimas
8. Daño reputacional
- Pérdida de confianza de clientes, socios y proveedores
- Daño a la imagen de la marca en medios y redes sociales
- Rechazo por parte de inversores y entes financieros
En sectores como salud, educación y banca, el impacto reputacional puede ser más destructivo que el daño técnico.
9. Riesgo de reinfección
En casos donde la respuesta al incidente no sea exhaustiva:
- Persisten puertas traseras usadas por Jackalock
- Las credenciales comprometidas no se rotan
- Las configuraciones del sistema no se restauran correctamente
Esto permite que los atacantes o afiliados del ransomware ejecuten ataques repetitivos meses después.
Origen y motivación
Jackalock es una variante del ransomware MedusaLocker que surgió como parte de la evolución de campañas cibercriminales orientadas a maximizar beneficios mediante extorsión digital, combinando técnicas de cifrado de archivos con mecanismos de persistencia y evasión. Su origen está vinculado a grupos delictivos que operan bajo el modelo de Ransomware-as-a-Service (RaaS), facilitando la distribución del malware por afiliados a cambio de un porcentaje del rescate obtenido. La motivación principal detrás de Jackalock es económica, aprovechando vulnerabilidades de seguridad, configuraciones débiles y accesos remotos expuestos para penetrar redes corporativas, cifrar datos críticos y exigir pagos en criptomonedas, con una creciente tendencia a utilizar el doble chantaje mediante la exfiltración de información confidencial para aumentar la presión sobre las víctimas.