REVRAC
El ransomware REVRAC es un tipo de malware diseñado para cifrar archivos en un sistema infectado y exigir un rescate a cambio de la clave de descifrado. Este programa malicioso cifra archivos, agrega una extensión ".REVRAC" junto a un identificador único para cada víctima, y renombra archivos de forma que el título original incluye esta nueva extensión y el identificador asignado. Al finalizar el proceso de cifrado, REVRAC deja una nota de rescate en un archivo llamado "README.txt," donde informa al usuario que solo podrá recuperar sus archivos mediante el pago de un rescate.
En la nota de rescate, los atacantes de REVRAC proporcionan un correo de contacto y permiten a la víctima descifrar un único archivo pequeño como prueba. Sin embargo, advierten que cualquier intento de recuperar los datos mediante herramientas de terceros o cambios en los nombres de los archivos cifrados podría resultar en la pérdida permanente de los datos. Aunque el rescate puede parecer la única opción para la recuperación, no hay garantía de que los atacantes cumplan con el envío de la clave de descifrado, incluso después de recibir el pago.
Este ransomware generalmente se propaga mediante tácticas de ingeniería social, como correos electrónicos de phishing y descargas engañosas, donde los archivos maliciosos están disfrazados de documentos o programas legítimos. Los sistemas infectados suelen ver afectados todos los archivos almacenados, haciéndolos inaccesibles sin la clave de descifrado. Además, REVRAC puede llegar a instalar troyanos adicionales que roban datos, aumentando aún más el riesgo de seguridad para el usuario afectado. La mejor estrategia contra REVRAC es la prevención mediante el uso de software de seguridad actualizado y la práctica de mantener copias de seguridad en ubicaciones externas seguras.
Funcionamiento
REVRAC es un ransomware avanzado que utiliza técnicas sofisticadas para comprometer los sistemas de sus víctimas, cifrando archivos y exigiendo un rescate a cambio de la clave de descifrado. Su funcionamiento se puede dividir en varias fases complejas que detallan su mecanismo de acción, desde la entrega inicial hasta la recuperación de datos.
1. Proceso de Infección
La infección por REVRAC típicamente comienza con métodos de ingeniería social, donde el malware se oculta en archivos adjuntos de correos electrónicos aparentemente legítimos o enlaces a sitios web maliciosos. Puede utilizar documentos de Microsoft Office, que requieren que el usuario habilite macros para ejecutar el código malicioso. Este enfoque se basa en la manipulación del comportamiento humano, aprovechando la curiosidad o la urgencia. Además, REVRAC puede propagarse a través de otros vectores, como sitios web comprometidos, archivos descargados de fuentes dudosas, y a través de dispositivos de almacenamiento extraíbles que se conectan a sistemas infectados. Una vez ejecutado, el ransomware se instala en el sistema y comienza a prepararse para su ataque.
2. Escaneo y Cifrado de Archivos
Una vez dentro del sistema, REVRAC inicia un proceso de escaneo exhaustivo, identificando archivos que son particularmente valiosos para el usuario, incluyendo documentos, imágenes, bases de datos y archivos de configuración. Utiliza algoritmos de cifrado simétrico y asimétrico para asegurar que los archivos sean inaccesibles. Durante este proceso, cada archivo afectado es renombrado al agregar un identificador único de la víctima y la extensión ".REVRAC". Por ejemplo, un archivo originalmente llamado "1.jpg" se convierte en "1.jpg.{AE53F3C6-811D-F11F-76B5-35C72B99A5C9}.REVRAC". Este método no solo ofusca los archivos, sino que también permite a los atacantes rastrear las víctimas y sus pagos.
3. Generación de la Nota de Rescate
Al completar el cifrado, REVRAC crea una nota de rescate en un archivo de texto denominado "README.txt". Este documento contiene instrucciones que informan a la víctima sobre el cifrado de sus archivos y le ofrecen una "oportunidad" para recuperar sus datos mediante el pago de un rescate. El mensaje establece que el pago debe realizarse en criptomonedas, que garantizan el anonimato de los atacantes, y sugiere que se puede probar el descifrado de un solo archivo de hasta 1 MB. Este archivo de prueba debe ser uno que no contenga datos críticos para evitar la posibilidad de que la víctima intente recuperar sus archivos sin pagar. Las advertencias incluidas en la nota de rescate enfatizan los riesgos de manipular los archivos o utilizar herramientas de descifrado de terceros, lo que incrementa la presión sobre la víctima para cumplir con las demandas de los atacantes.
4. Persistencia y Exfiltración
Para aumentar la efectividad de su ataque, REVRAC puede incluir capacidades de persistencia, asegurando que el ransomware se reinicie automáticamente incluso si la víctima intenta eliminarlo. Además, algunos análisis han indicado que ciertas variantes de REVRAC pueden incluir funcionalidades para exfiltrar datos sensibles antes de cifrarlos, aumentando así la presión sobre las víctimas al amenazar con la divulgación de información confidencial si no se paga el rescate.
Impacto y consecuencias
El ransomware REVRAC tiene un impacto significativo y potencialmente devastador sobre los sistemas y la integridad de la información almacenada, debido a su capacidad para cifrar archivos críticos y solicitar un rescate en criptomonedas a cambio de la clave de descifrado. El cifrado de archivos personales, empresariales y de sistema afecta directamente la disponibilidad de los datos, ya que los archivos cifrados quedan inutilizables, impidiendo el acceso de los usuarios y paralizando las operaciones, especialmente en el contexto empresarial. Esto puede llevar a interrupciones en la continuidad del negocio, pérdida de productividad y en algunos casos, pérdidas financieras significativas si los archivos comprometidos son esenciales para las actividades comerciales.
Una de las principales consecuencias del ataque de REVRAC es la presión psicológica y financiera ejercida sobre las víctimas. La nota de rescate deja claro que cualquier intento de recuperar los datos por medios alternativos (como el cambio de nombre de los archivos o el uso de herramientas de descifrado de terceros) puede provocar la pérdida irreversible de los archivos. Esta situación empuja a las víctimas a considerar seriamente el pago del rescate, pese a que este pago no garantiza la recuperación de los datos, ya que los ciberdelincuentes no siempre proporcionan las claves o software de descifrado prometidos tras recibir el pago. Adicionalmente, el envío de fondos a los atacantes perpetúa sus actividades, ya que incentiva a los ciberdelincuentes a seguir desarrollando y distribuyendo ransomware como REVRAC.
Las consecuencias de una infección con REVRAC no solo abarcan la pérdida de datos y el costo potencial del rescate, sino también el riesgo de daños adicionales, como el robo de datos. Al igual que otros tipos de ransomware modernos, REVRAC puede incluir módulos que permiten exfiltrar información sensible o incluso instalar malware secundario en el sistema infectado, como troyanos o spyware que roban credenciales y datos confidenciales. Esto incrementa la vulnerabilidad del sistema afectado y pone en riesgo a terceros, incluyendo clientes y socios comerciales en el caso de una empresa. Además, la recuperación posterior a una infección de REVRAC puede ser extensa y costosa, ya que requiere la eliminación del malware, restauración de los datos (si existen copias de seguridad seguras), revisión de la infraestructura de seguridad y la implementación de medidas adicionales para prevenir futuros ataques. Estos factores hacen de REVRAC una amenaza de gran impacto, con consecuencias a largo plazo que van más allá del acceso a los archivos, afectando la reputación, seguridad y continuidad de las operaciones.
Origen y motivación
REVRAC parece originarse de grupos de ciberdelincuentes motivados principalmente por el lucro financiero, aprovechando el uso de técnicas avanzadas de cifrado para extorsionar a las víctimas. Este ransomware se enmarca en el modelo de "ransomware como servicio" (RaaS), donde sus creadores desarrollan y distribuyen el malware a otros actores criminales, que lo propagan a cambio de una parte del rescate. La motivación detrás de REVRAC es la obtención de pagos en criptomonedas, capitalizando sobre la desesperación de las víctimas y su necesidad de acceder nuevamente a sus datos, a la vez que se mantienen en el anonimato gracias a la infraestructura de criptografía y la red de distribuidores.