Hallan una vacuna contra el ransomware de Bitcoin y ya se puede descargar

Como una posible solución a este tipo de ataque, el investigador de seguridad Florian Roth, CTO de Nextron Systems, ha dado a conocer recientemente una vacuna para combatir este malware, llamada “Raccine”. Se trata de un software depurador de código abierto, y ya se encuentra disponible en GitHub para su descarga. Para explicar el funcionamiento del ransomware, podemos empezar por el origen del mal. Una vez que un individuo o empresa es infectado, se suele solicitar un pago en criptomonedas para devolver todos los archivos y datos secuestrados por los hackers. Este puede ascender a millones de dólares, dependiendo del contexto. Sin embargo, antes de que el malware llegue a ese paso, se asegurará de que el usuario no pueda recuperar sus archivos gracias a una función automática presente en Windows (el sistema operativo más afectado): las “copias sombra de volumen” (shadow volumen copies). Estas son, básicamente, respaldos automáticos creados por el sistema operativo, con el propósito de crear puntos de restauración que servirían para recuperar archivos y software perdido por alguna razón. Cuando el dispositivo es infectado por ransomware, este programa malicioso elimina estas copias antes de cifrar toda la información; muchas veces por medio del comando vssadmin.exe. Allí es donde entra el software Raccine: una vez instalado, cada vez que se ejecute vssadmin.exe también lo hará Raccine y, si verifica que dicho comando está intentando eliminar las copias de volumen, terminará automáticamente este proceso. De esa forma se desharía del ransomware mucho antes de que empiece a cifrar los archivos. Claro que aún esta versión no es perfecta. Funcionará únicamente contra los ransomware que usen vssadmin.exe y cancelará las operaciones de cualquier programa legítimo que intente borrar las copias. Sin embargo, Roth ha indicado que en el futuro añadirá soporte para ello.

Bitcoin, instituciones y ransomware

Cabe destacar que, según la firma de ciberseguridad Coveware, la criptomoneda más usada en este tipo de malware es Bitcoin (BTC); si bien, los pagos también podrían solicitarse en otra criptomoneda (como Monero) o, menos usual, a través de métodos anónimos con dinero tradicional, como tarjetas de regalo. Es improbable que estas acciones delictivas giren en torno a una moneda diferente muy pronto, ya que Bitcoin sigue siendo el más fácil de adquirir y manejar con cierto anonimato. Tampoco parece que este malware vaya a desaparecer muy pronto. Prueba de ello es que el 51% de empresas hayan sido afectadas en este 2020. Entre ellas probablemente se cuentan numerosos hospitales, como ha sido en el caso de España y Estados Unidos. Pero estas extorsiones digitales no quedan atrás en Latinoamérica. Colombia y Argentina han sufrido ataques en sus sedes de gobierno, mientras que miles de sucursales de un banco chileno se desconectaron el mes pasado debido a este virus, cuyo rescate siempre se solicitó en BTC.