Purgatory

De CiberWiki

Purgatory es un tipo de malware de tipo ransomware diseñado para cifrar archivos en los sistemas infectados y exigir un pago en criptomonedas para su recuperación. Una vez que compromete un equipo, modifica los nombres de los archivos agregando la extensión “.purgatory” y muestra una nota de rescate en una ventana emergente, exigiendo 0,0897 BTC (Bitcoin) para proporcionar la clave de descifrado.

Este ransomware emplea técnicas de distribución comunes, como correos electrónicos de phishing con archivos adjuntos maliciosos, descargas engañosas y explotación de vulnerabilidades en software desactualizado. Una vez dentro del sistema, impide el acceso a los archivos y, en algunos casos, puede instalar otras amenazas adicionales, como troyanos de robo de credenciales.

Para mitigar el riesgo de infección por Purgatory y otros ransomware, se recomienda mantener copias de seguridad actualizadas en dispositivos desconectados, evitar abrir archivos de fuentes sospechosas y contar con software de seguridad actualizado. Aunque la eliminación del ransomware puede evitar daños futuros, los archivos cifrados solo pueden recuperarse mediante copias de seguridad previas, ya que no existe un descifrador gratuito conocido.

Funcionamiento

1. Vector de Infección y Propagación

El ransomware Purgatory se distribuye principalmente a través de técnicas de phishing e ingeniería social, con archivos maliciosos disfrazados como documentos legítimos, programas crackeados o actualizaciones falsas. Algunos de los vectores de infección identificados incluyen:

  • Correos electrónicos de phishing con archivos adjuntos infectados, como documentos de Microsoft Office con macros maliciosas, PDFs con scripts incrustados o archivos comprimidos (ZIP, RAR) que contienen ejecutables disfrazados.
  • Descargas fraudulentas desde sitios web de torrents, foros ilegales o portales de software pirata que contienen el ransomware empaquetado con otros archivos.
  • Explotación de vulnerabilidades en software desactualizado para ejecutar código malicioso de forma remota.
  • Ataques drive-by download, en los que el ransomware se instala silenciosamente al visitar una página web maliciosa.

2. Ejecución y Persistencia en el Sistema

Una vez que el usuario ejecuta el archivo malicioso, Purgatory realiza una serie de operaciones para establecerse en el sistema:

  1. Elevación de privilegios: Intenta ejecutarse con privilegios administrativos mediante el UAC Bypass o exploits locales.
  2. Creación de procesos y persistencia: Agrega claves en el Registro de Windows (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) para ejecutarse al inicio del sistema.
  3. Terminación de procesos y servicios: Finaliza aplicaciones que podrían interferir con la encriptación, como antivirus, herramientas de seguridad o bases de datos en uso. Utiliza comandos como:
  4. Eliminación de copias de seguridad y puntos de restauración: Para evitar la recuperación de archivos, Purgatory ejecuta los siguientes comandos: Con esto, el ransomware impide el uso de puntos de restauración del sistema.

3. Mecanismo de Cifrado

El ransomware Purgatory implementa un cifrado fuerte basado en AES-256 y RSA-2048, asegurando que los archivos no puedan ser recuperados sin la clave privada correspondiente. Su proceso de cifrado se lleva a cabo en los siguientes pasos:

  1. Generación de clave de cifrado:
    • Crea una clave única AES-256 para cada archivo que cifra.
    • Esta clave es luego cifrada con RSA-2048 utilizando una clave pública embebida en el código del malware.
    • La clave privada correspondiente se encuentra en posesión de los atacantes.
  2. Selección de archivos a cifrar:
    • Busca archivos en las unidades locales y de red utilizando extensiones específicas, excluyendo archivos críticos del sistema.
    • Extensiones de archivo típicas afectadas:
    • Evita cifrar archivos en C:\Windows, C:\Program Files, y C:\ProgramData para mantener la funcionalidad del sistema.
  3. Proceso de cifrado:
    • Abre cada archivo en modo lectura/escritura.
    • Cifra su contenido con AES-256 en modo CBC con un IV aleatorio.
    • La clave AES utilizada se cifra con RSA-2048 y se almacena junto con el archivo cifrado.
    • Renombra el archivo agregando la extensión “.purgatory”, por ejemplo:
    • Borra los archivos originales después del cifrado.

4. Creación y Presentación de la Nota de Rescate

Después del cifrado, el ransomware genera una nota de rescate en formato de ventana emergente y en archivos de texto. La nota contiene:

  • Instrucciones para contactar a los atacantes vía Telegram.
  • Monto del rescate: 0,0897 BTC (~9.000 USD en el momento de análisis).
  • Dirección de la billetera Bitcoin para el pago.

Ejemplo del mensaje de rescate:

5. Comunicación con el Servidor de Comando y Control (C2)

El ransomware intenta conectarse a un servidor C2 para enviar información sobre la infección, incluyendo:

  • ID único del equipo basado en hardware y sistema operativo.
  • Clave AES cifrada con RSA, almacenada en el servidor para garantizar que solo los atacantes puedan descifrar los archivos.
  • Fecha y hora de la infección para seguimiento del pago del rescate.

Impacto y consecuencias

El ransomware Purgatory representa una amenaza significativa tanto a nivel técnico como organizacional, ya que su modelo de cifrado fuerte y su capacidad para eliminar copias de seguridad lo convierten en una de las variantes más destructivas en el ecosistema de malware actual. A continuación, se detallan de manera técnica y extensa los impactos y consecuencias de una infección por Purgatory.

1. Impacto Técnico

1.1. Pérdida Irreversible de Datos

El uso de algoritmos de cifrado AES-256 en modo CBC combinado con RSA-2048 impide que los archivos sean recuperables sin la clave privada correspondiente. Esto tiene las siguientes implicaciones:

  • Los archivos cifrados no pueden ser restaurados mediante herramientas tradicionales de recuperación de datos.
  • La eliminación de copias sombra de volumen y puntos de restauración impide recuperar el sistema a un estado previo.
  • La única forma de descifrar los archivos es obteniendo la clave privada RSA de los atacantes, lo que generalmente requiere el pago del rescate.

1.2. Interrupción de Servicios Críticos

En entornos empresariales, Purgatory puede causar la detención de operaciones críticas al cifrar archivos esenciales para el funcionamiento del negocio, tales como:

  • Bases de datos (SQL, Oracle, MongoDB, PostgreSQL), lo que impide el acceso a registros financieros, inventarios, clientes y otras operaciones comerciales.
  • Sistemas de gestión (ERP, CRM, SAP), que pueden volverse inutilizables debido al cifrado de archivos de configuración y bases de datos.
  • Sistemas operativos y archivos de arranque, si el ransomware afecta sectores críticos del sistema, puede provocar que el equipo no arranque correctamente.
  • Archivos de automatización y producción, en empresas que dependen de software industrial, el ransomware puede interrumpir cadenas de producción.

1.3. Expansión a la Red y Propagación Lateral

Purgatory implementa mecanismos de propagación que pueden afectar a múltiples dispositivos dentro de una misma red, lo que amplifica su impacto:

  • Escaneo de comparticiones SMB (Server Message Block) para cifrar archivos en servidores de red.
  • Explotación de credenciales débiles mediante ataques de fuerza bruta o aprovechamiento de credenciales almacenadas en memoria.
  • Uso de PowerShell y WMI (Windows Management Instrumentation) para ejecutar copias del malware en otros dispositivos sin necesidad de interacción del usuario.

1.4. Daño a la Integridad del Sistema

El ransomware Purgatory realiza modificaciones profundas en el sistema operativo, afectando su estabilidad y seguridad:

  • Modifica claves de registro en Windows para deshabilitar funciones de seguridad y prevenir la recuperación de archivos.
  • Borra registros de eventos (wevtutil clear-log Application) para evitar que los administradores detecten actividad maliciosa.
  • Desactiva procesos de seguridad, como Windows Defender, para evitar la detección y mitigación temprana.
  • Genera procesos secundarios que monitorean y reactivan el ransomware si el usuario intenta detenerlo.

2. Impacto Organizacional

2.1. Pérdidas Económicas Directas

El impacto financiero de una infección por Purgatory es significativo y puede presentarse en diversas formas:

  1. Pago del rescate:
    • El monto solicitado por los atacantes es variable, pero se ha identificado un promedio de 0,0897 BTC (~9.000 USD en el momento del análisis).
    • No hay garantía de que los atacantes proporcionen una herramienta de descifrado funcional después del pago.
  2. Costos de recuperación:
    • Empresas deben invertir en servicios de recuperación de datos, consultoría en ciberseguridad y herramientas forenses para mitigar el daño.
  3. Pérdida de ingresos:
    • La interrupción de operaciones comerciales debido a archivos cifrados impacta la continuidad del negocio.

2.2. Riesgos de Fuga y Exposición de Información Sensible

Aunque Purgatory no ha sido identificado como un ransomware con funcionalidad de doble extorsión (filtrado de datos antes del cifrado), las variantes más recientes podrían incluir la exfiltración de archivos sensibles antes de encriptarlos. Esto representa los siguientes riesgos:

  • Compromiso de información confidencial: Documentos internos, datos financieros o credenciales de acceso pueden ser filtrados.
  • Violaciones de normativas: Organizaciones que manejan información protegida (como datos personales bajo GDPR, HIPAA, PCI-DSS) pueden enfrentar sanciones legales si la información es expuesta.
  • Extorsión secundaria: Los atacantes pueden amenazar con filtrar información sensible si no se paga un rescate adicional.

2.3. Daño a la Reputación de la Empresa

Un ataque de ransomware exitoso puede afectar la imagen pública de una empresa, especialmente si la información comprometida involucra datos de clientes o socios comerciales. Consecuencias incluyen:

  • Pérdida de confianza por parte de clientes y proveedores.
  • Dificultad para cumplir contratos con clientes que requieren estándares de seguridad elevados.
  • Impacto en la valoración de la empresa en mercados financieros.

2.4. Posibles Demandas y Responsabilidades Legales

Dependiendo de la legislación aplicable, una empresa afectada por Purgatory podría enfrentar acciones legales si no protegió adecuadamente los datos de sus clientes. Algunas consecuencias incluyen:

  • Multas por incumplimiento de regulaciones de protección de datos.
  • Demandas colectivas de clientes o socios comerciales cuyos datos fueron comprometidos.
  • Investigaciones gubernamentales si la empresa maneja información crítica.

3. Consecuencias a Largo Plazo

3.1. Impacto en Infraestructura de TI

Una vez que una empresa ha sido víctima de Purgatory, su infraestructura de TI puede quedar en un estado vulnerable, lo que exige:

  • Reformulación de estrategias de seguridad.
  • Inversión en soluciones avanzadas de protección contra ransomware.
  • Mejoras en políticas de backup y recuperación ante desastres.

3.2. Evolución del Ransomware y Riesgo de Reinfección

Las variantes de ransomware evolucionan constantemente. Si una organización no toma medidas adecuadas tras un ataque, puede ser víctima de una variante más agresiva en el futuro. Los atacantes pueden:

  • Reutilizar credenciales filtradas para lanzar ataques posteriores.
  • Vender accesos a otros grupos de ransomware en el mercado negro.
  • Lanzar ataques dirigidos (targeted attacks) si identifican que la organización está dispuesta a pagar el rescate.

Origen y motivación

El ransomware Purgatory surgió como una variante evolucionada dentro del ecosistema de malware basado en extorsión digital, diseñado por actores de amenazas con motivaciones económicas. Su origen se vincula a grupos especializados en el desarrollo de Ransomware-as-a-Service (RaaS), lo que permite su distribución a ciberdelincuentes sin amplios conocimientos técnicos. Su motivación principal es el beneficio financiero mediante el secuestro de datos críticos a través de un cifrado robusto, exigiendo pagos en criptomonedas a las víctimas para su recuperación. En algunos casos, se especula que sus operadores pueden estar vinculados a tácticas de doble extorsión, donde amenazan con filtrar información sensible si el rescate no es pagado.

Obtenido de «https://darfe.es/ciberwiki/index.php?title=Purgatory&oldid=2379»