Nuevo timo: falsas consultoras de TI que dicen ayudar a las víctimas de ransomware

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Check Point Research acaba de sacar a la luz el caso de Dr. Shifro, una empresa rusa que afirma desbloquear legítimamente archivos cifrados, pero que en realidad lo único que hace es de enlace entre el ciberdelincuente y la víctima, es decir, cobra a la víctima y paga al creador del ransomware, con un margen de beneficio enorme.

Cuando se bloquea el acceso a los archivos y se pide un rescate, no es de extrañar que las organizaciones hagan casi cualquier cosa para restaurar su acceso a ellos. Hay tres opciones posibles: restaurar todos los archivos bloqueados a través de la copia de seguridad; pagar el rescate al actor de la amenaza responsable de cifrar esos archivos, y contratar a un consultor de TI que pueda desbloquear los archivos sin pagar el rescate.

Los expertos del equipo de investigación de Check Point encontraron Dr. Shifro", una "consultoría de TI" online que ofrecía un solo servicio, algo sospechoso de inicio: ayudar a las víctimas del ransomware a desbloquear sus archivos.

Además, Dr. Shifro promete desbloquear archivos, supuestamente cautivos en el programa de rescate Dharma/Crisis (para el cual no se dispone de clave de descifrado), entre otros.

Después de una investigación encubierta, pronto se desveló que esta consultora estaba contactando con el autor del ransomware para desbloquear los archivos de la víctima a cambio del pago del rescate (1.300 dólares) más una comisión de otros 1000 dólares, como margen del negocio para ella.

Check Point explica que las consultoras de TI legítimas por lo general no hacen promesas que no puedan cumplir. De hecho, sólo dan garantías en servicios que saben que pueden ofrecer, como las claves de descifrado que ya están disponibles públicamente online y se limitarán a realizar estos servicios de descifrado.

En todo caso, aconseja a las empresas que utilicen soluciones de prevención anti-ransomware para evitar sufrir las consecuencias de este tipo de ataques.  Por esta razón, es fundamental que la soluciones anti-ransomware no solo trabajen con malware ya detectado, sino que sean capaces de emular y extraer archivos sospechosos en un sandbox y recuperar automáticamente los archivos cifrados.