Novalock

De CiberWiki

Novalock es un tipo de ransomware que pertenece a la familia GlobeImposter. Este malware cifra los archivos de las víctimas y exige un rescate para devolver el acceso a los datos. Durante el proceso de cifrado, añade la extensión ".novalock" a los nombres de los archivos afectados, lo que los vuelve inaccesibles. Tras completar el cifrado, genera una nota de rescate denominada "how_to_back_files.html", donde amenaza con filtrar datos sensibles si no se realiza el pago del rescate.

Este ransomware se dirige principalmente a empresas, empleando tácticas de doble extorsión: por un lado, cifra los archivos y, por otro, roba información confidencial, amenazando con publicarla. La nota de rescate advierte a las víctimas que cualquier intento de restaurar los archivos con software de terceros puede dañar permanentemente los datos. Además, los atacantes ofrecen descifrar gratuitamente hasta tres archivos como prueba de que pueden recuperar los datos, pero incrementan el rescate si no se les contacta dentro de un plazo de 72 horas.

La eliminación de Novalock evita nuevos cifrados, pero no recupera los archivos ya afectados. Por ello, la mejor defensa es prevenir la infección mediante prácticas de seguridad, como mantener copias de seguridad actualizadas y almacenadas de forma segura, evitar correos electrónicos y descargas sospechosas, y usar software antivirus confiable. Pagar el rescate no es recomendable, ya que no garantiza la recuperación de los datos.

Funcionamiento

El ransomware Novalock, parte de la familia GlobeImposter, sigue un ciclo de infección bien estructurado que incluye la distribución, ejecución, cifrado de archivos y extorsión de las víctimas. A continuación, se describe de manera detallada cada etapa de su funcionamiento:

1. Distribución e infección

Novalock utiliza métodos comunes de distribución de malware, como campañas de phishing, descargas maliciosas o la explotación de vulnerabilidades en sistemas no actualizados. Los vectores de ataque más frecuentes incluyen:

  • Correos electrónicos maliciosos: Contienen enlaces a sitios comprometidos o adjuntos infectados (documentos con macros, ejecutables o archivos comprimidos).
  • Troyanos de acceso remoto (RAT): Que descargan y ejecutan el ransomware en la máquina comprometida.
  • Actualizaciones falsas y herramientas de "cracking": A menudo disfrazadas de software legítimo.
  • Propagación lateral: En redes locales, mediante el uso de credenciales robadas o exploits en protocolos como SMB.

Al ejecutarse, Novalock establece persistencia en el sistema, utilizando técnicas como el registro de tareas programadas o modificaciones en claves de inicio de Windows.

2. Cifrado de archivos

Una vez instalado, Novalock analiza el sistema en busca de archivos específicos para cifrar. Evita cifrar archivos esenciales para el sistema operativo (por ejemplo, directorios de Windows y archivos de sistema), asegurándose de no inutilizar la máquina, lo cual podría dificultar el pago del rescate. El proceso incluye:

  1. Enumeración de archivos:
    • Escanea directorios locales y unidades conectadas para identificar archivos que cumplan con extensiones predefinidas, como documentos, imágenes, bases de datos y archivos comprimidos.
  2. Cifrado:
    • Utiliza un esquema de cifrado híbrido, combinando RSA (asimétrico) y AES (simétrico).
    • Cada archivo se cifra con una clave AES única generada localmente, que a su vez es cifrada con una clave RSA pública almacenada en el ransomware.
    • Este esquema garantiza que solo los atacantes, con la clave RSA privada, puedan descifrar los archivos.
  3. Modificación de nombres:
    • Los archivos cifrados reciben la extensión ".novalock", dejando los originales inutilizables (por ejemplo, "documento.pdf" se convierte en "documento.pdf.novalock").

3. Creación de la nota de rescate

Después de completar el cifrado, Novalock genera una nota de rescate titulada "how_to_back_files.html" en cada directorio afectado. Esta nota contiene:

  • Un mensaje informando a la víctima que su red ha sido comprometida y sus archivos cifrados.
  • Detalles sobre el método de contacto con los atacantes, que incluye direcciones de correo electrónico y un enlace a un sitio web en la red Tor.
  • Advertencias contra el uso de herramientas de recuperación de terceros.
  • La amenaza de filtrar datos sensibles si no se realiza el pago.
  • Un incentivo para contactar rápidamente, ofreciendo el descifrado gratuito de hasta tres archivos como prueba de capacidad.

4. Doble extorsión

Además del cifrado, Novalock incorpora la técnica de doble extorsión. Durante el proceso de infección, el ransomware extrae datos sensibles del sistema y los almacena en servidores controlados por los atacantes. En la nota de rescate, los delincuentes amenazan con publicar esta información en caso de no recibir el pago.

5. Persistencia y evasión

Novalock emplea técnicas avanzadas para mantenerse activo y dificultar su detección:

  • Persistencia:
    • Modifica claves del registro para ejecutarse al inicio del sistema.
    • Crea tareas programadas para garantizar su reinicio automático.
  • Evasión:
    • Desactiva software de seguridad, como antivirus y firewalls.
    • Utiliza ofuscación de código para evitar ser detectado por soluciones de análisis estático.

6. Extorsión y pago del rescate

Los atacantes establecen un plazo de 72 horas para que las víctimas se pongan en contacto. Si no se cumple este plazo, amenazan con aumentar el rescate o filtrar los datos robados. El pago se solicita en criptomonedas, como Bitcoin, para garantizar el anonimato.

Impacto y consecuencias

El ransomware Novalock, derivado de la familia GlobeImposter, tiene un impacto devastador en los sistemas afectados, y sus consecuencias abarcan múltiples dimensiones técnicas, operativas y económicas. A continuación, se describe el alcance de estas afectaciones de manera detallada:

1. Interrupción de operaciones

Una vez que Novalock cifra los archivos, estos se vuelven inaccesibles para el sistema o los usuarios. Este impacto puede manifestarse en diferentes niveles:

A. Organizaciones y empresas:

  • Detención de procesos críticos: Los archivos esenciales para la operación (como bases de datos, registros financieros o sistemas de gestión) quedan inutilizables.
  • Impacto en la continuidad del negocio: Las empresas que no tienen planes de contingencia efectivos enfrentan interrupciones prolongadas, lo que afecta la producción, los servicios y la relación con los clientes.
  • Pérdida de ingresos: Cada minuto de inactividad se traduce en pérdidas económicas, especialmente en sectores altamente dependientes de la tecnología, como el financiero, la salud y la manufactura.

B. Usuarios individuales:

  • Pérdida de acceso a datos personales: Fotos, documentos y archivos de uso cotidiano quedan bloqueados, causando frustración y ansiedad.
  • Desgaste en recursos de hardware y software: Intentos fallidos de recuperación pueden dañar datos adicionales o el propio sistema.

2. Pérdida de datos confidenciales

Novalock emplea técnicas de doble extorsión, donde no solo cifra los datos, sino que también exfiltra información sensible antes de bloquearla. Esto conlleva:

  • Filtración de datos sensibles:
    • Información financiera, datos de clientes, propiedad intelectual y credenciales de acceso se exponen públicamente o se comercializan en mercados ilegales.
    • Las organizaciones pueden enfrentar demandas legales y sanciones regulatorias si se filtran datos protegidos por leyes de privacidad, como el GDPR o HIPAA.
  • Reputación comprometida:
    • Las filtraciones dañan la confianza de clientes, socios y accionistas, afectando la imagen corporativa a largo plazo.
  • Exposición a futuros ataques:
    • La publicación de datos robados facilita que otros actores maliciosos realicen ataques de spear phishing, fraudes o robo de identidad.

3. Impacto técnico en el sistema

El ransomware deja un rastro significativo de daño en los sistemas infectados:

A. Cifrado irreversible de archivos:

  • Los archivos cifrados con algoritmos de alta complejidad, como AES-256 y RSA-2048, son prácticamente imposibles de recuperar sin la clave de descifrado privada.
  • La modificación de extensiones y estructuras de archivos puede provocar corrupción de datos adicionales durante intentos manuales de reparación.

B. Alteraciones del sistema operativo:

  • Modificaciones en el registro de Windows para asegurar la persistencia del malware.
  • Eliminación de puntos de restauración del sistema, dificultando la recuperación por métodos tradicionales.
  • Potencial desactivación de software de seguridad y eliminación de registros de eventos, lo que complica el análisis forense.

C. Recursos de red comprometidos:

  • Escaneo y cifrado de archivos en unidades compartidas o servidores conectados, lo que amplifica el alcance del daño.
  • Utilización de credenciales robadas para propagarse lateralmente en redes locales.

4. Consecuencias económicas

Novalock tiene un impacto financiero significativo, tanto en víctimas individuales como en organizaciones:

A. Pago del rescate:

  • Los atacantes exigen pagos en criptomonedas (como Bitcoin) para garantizar el anonimato, con montos que oscilan entre miles y cientos de miles de dólares.
  • Incluso tras el pago, no hay garantía de recibir una clave funcional para descifrar los datos.

B. Costos asociados a la recuperación:

  • Empresas deben invertir en:
    • Consultores de ciberseguridad para la contención y análisis del ataque.
    • Implementación de nuevas medidas de seguridad y fortalecimiento de infraestructuras.
    • Procesos legales relacionados con violaciones de datos.
  • Los individuos enfrentan:
    • Gastos en software de recuperación y asistencia técnica.
    • Pérdida de tiempo y productividad.

5. Implicaciones legales y regulatorias

En casos donde se produce una filtración de datos personales o sensibles, las víctimas (particularmente las organizaciones) pueden enfrentar:

  • Investigaciones regulatorias: Por incumplimiento de normativas de privacidad y protección de datos.
  • Multas: Impuestas por entidades gubernamentales debido a la falta de medidas adecuadas de seguridad.
  • Demandas colectivas: De clientes o empleados cuyos datos hayan sido expuestos.

6. Daño a la reputación

El impacto reputacional es uno de los aspectos más difíciles de mitigar tras un ataque de ransomware:

  • Clientes y socios pierden confianza: Lo que afecta la fidelización y dificulta nuevas relaciones comerciales.
  • Publicidad negativa: Los medios de comunicación suelen destacar los incidentes de ciberseguridad en empresas conocidas, amplificando el daño.

7. Potencial para ataques futuros

Un ataque exitoso con Novalock puede abrir la puerta a futuros incidentes:

  • Riesgo de infecciones recurrentes: Si no se eliminan completamente las vulnerabilidades explotadas inicialmente.
  • Venta de accesos: Los atacantes pueden comercializar el acceso a la red comprometida en foros clandestinos, permitiendo que otros grupos ejecuten campañas adicionales.

8. Impacto en la infraestructura tecnológica

El ataque con Novalock puede dañar la infraestructura tecnológica al:

  • Forzar la reinstalación de sistemas operativos en máquinas comprometidas.
  • Corromper configuraciones de red y servicios dependientes de datos cifrados.
  • Generar conflictos entre aplicaciones debido a archivos faltantes o cifrados.

9. Efecto psicológico en las víctimas

El impacto psicológico es significativo, especialmente para usuarios individuales y pequeñas empresas:

  • Ansiedad y estrés: Por la pérdida de datos valiosos y la incertidumbre sobre la recuperación.
  • Desconfianza en la tecnología: Lo que puede llevar a cambios en los hábitos digitales, como la adopción de métodos menos eficientes pero percibidos como más seguros.

Origen y motivación

Novalock es un ransomware derivado de la familia GlobeImposter, que surgió como una variante más sofisticada diseñada para maximizar su impacto mediante técnicas avanzadas de cifrado y doble extorsión. Su origen se vincula a grupos criminales organizados que aprovechan vulnerabilidades en sistemas desprotegidos para infiltrarse en redes corporativas y personales. La principal motivación detrás de Novalock es económica, buscando obtener ganancias a través del cobro de rescates en criptomonedas por la recuperación de datos cifrados y la promesa de no publicar información exfiltrada, además de causar daño reputacional y disrupción operativa a sus víctimas como estrategia de presión.

Obtenido de «https://darfe.es/ciberwiki/index.php?title=Novalock&oldid=2318»