Hacia fines de enero de 2018 los cibercriminales detrás del ransomware GandCrab comenzaron a promocionar el malware y en poco tiempo se posicionó entre las 5 familias de ransomware más detectadas, llegando a niveles similares a los de WannaCry y/o Crysis; aunque con la particularidad también de ser un malware que recibió una gran cantidad de actualizaciones en un corto período de tiempo. Sin embargo, luego de aproximadamente un año y medio de actividad, sus operadores comunicaron que darán de baja esta familia de ransomware.
Es importante destacar que GandCrab se distribuía hasta ahora como un ransomware como servicio (RaaS), por lo que los operadores de esta familia ofrecían a los interesados la posibilidad de participar de un “programa de partners” y dividir las ganancias.
Si bien, tal como se aprecia en la captura de pantalla que compartió el investigador en seguridad Damian, los operadores de GandCrab aseguran que obtuvieron ganancias de más de dos mil millones de dólares y un promedio de dos millones y medio por semana de sus víctimas, la veracidad de estas afirmaciones son imposibles de confirmar; más aun teniendo en cuenta que las bromas y la ironía es algo que ha caracterizado a los actores detrás de esta familia de ransomware en sus comunicados y en otras instancias de su accionar.
Igualmente, algo que sí podemos asegurar es que rápidamente se metió entre las familias de ransomware con más detecciones en la región, y para el mes de agosto de 2018, cinco países de América Latina figuraban entre los diez países en los que más detecciones se habían registrado de esta amenaza a nivel mundial. Estos eran: Perú (45,2%), México (38%), Ecuador (17,2%), Colombia (9,9%) y Brasil (8,7%).
La forma de distribuirse ha sido muy diversa. Si bien a nivel global se detectaron campañas de spam distribuyendo la amenaza a través del correo, en América Latina, al menos durante los primeros cuatro meses, utilizaron técnicas de ingeniería social para engañar a sus víctimas con la excusa de ser una actualización de fuentes para el sistema operativo. Sin embargo, el salto en las detecciones de esta familia en la región se registró meses después, cuando los cibercriminales comenzaron a utilizar aplicaciones para crackear programas de distinto tipo, desde editores de texto o multimedia hasta videojuegos, tal como vimos en el primer análisis que realizamos de esta familia.
En su comunicado, publicado en un conocido foro de hacking, los actores maliciosos detrás de este ransomware dicen que ya dejaron de promocionar el malware y que solicitaron a quienes lo distribuyen que dejen de hacerlo en un plazo de 20 días desde la publicación del anuncio. Además, advierten a las víctimas que si no pagan ahora para recuperar sus archivos nadie podrá recuperarlos luego, ya que las llaves serán eliminadas.
Muchas veces sucede que cuando cibercriminales deciden descontinuar una amenaza, como un ransomware, deciden publicar la llave maestra de manera pública. Esto permite crear herramientas para descifrar los archivos que fueron afectados por una familia en particular, tal como fue el caso de TeslaCryp, cuando gracias a que publicaron la llave maestra los investigadores de ESET pudieron crear una herramienta de descifrado para las víctimas del ransomware. En el caso de GandCrab aún no sabemos qué pasará. Si bien los responsables de esta familia dicen que vencido el plazo las llaves se eliminarán, no sabemos si se trata de un engaño para que las víctimas paguen por el rescate sabiendo que existe el riesgo de que con el cierre también se irán las llaves de descifrado.
Quizás te interese:
- El ransomware continúa siendo una amenaza peligrosa para las empresas
- Países más afectados por el ransomware en Latinoamérica durante 2018
- Ransomware: 10 formas en las que puede comportarse al infectar un sistema