Ransomware Core (Makop): un bloqueo rápido de datos
Table of Contents
Una notoria incorporación a la familia Makop
Core (Makop) Ransomware es una amenaza basada en cifrado que forma parte de la familia más amplia de ransomware Makop . Al igual que otros miembros de esta categoría, Core está diseñado para infiltrarse en los sistemas, cifrar archivos y exigir un rescate a las víctimas a cambio de la supuesta clave de descifrado. Tras su ejecución, el ransomware bloquea rápidamente los datos, lo que hace que los archivos cruciales sean inaccesibles para el usuario.
Una vez activado, Core (Makop) modifica sistemáticamente los nombres de los archivos, añadiendo un identificador único asignado a la víctima, una dirección de correo electrónico controlada por el atacante y la extensión ".core". Por ejemplo, un archivo llamado "document.docx" se renombraría como "document.docx.[2AF20FA3].[corecrypt@hotmail.com].core". Además de bloquear los archivos, Core (Makop) cambia el fondo de pantalla del escritorio de la víctima y coloca una nota de rescate titulada "+README-WARNING+.txt" para comunicar sus exigencias.
La nota de rescate y sus implicaciones
El mensaje de rescate dejado por Core (Makop) sigue un patrón familiar utilizado por los operadores de ransomware. Informa a la víctima de que sus datos han sido cifrados y, en algunos casos, también robados. La nota advierte contra intentar descifrar los archivos de forma independiente, alegando que el descifrado no autorizado podría provocar la pérdida permanente de datos.
Los investigadores de ciberseguridad que han estudiado numerosos ataques de ransomware confirman que la mayoría de los métodos de cifrado de ransomware son muy avanzados, lo que hace que el descifrado independiente sea casi imposible sin la ayuda del atacante. Sin embargo, la historia ha demostrado que pagar el rescate no garantiza la recuperación de los archivos. Muchas víctimas que cumplen con las exigencias de los atacantes nunca reciben una herramienta de descifrado que funcione, lo que hace que todo el esquema de extorsión sea muy poco fiable.
Aquí está el texto completo de la nota de rescate:
!i!i!i!i!i!i!i!i!i!!i!i!i!i!i!i!i!i!i!i!i!i!i
Your files are ENCRYPTED and STOLEN!
Trying to decrypt data in any other way may result in file corruption and data loss.
You can find a mediator to make a deal with us,
but we don't guarantee the security of the deal between you and the mediator.
Contact us at this email address: corecrypt@hotmail.com
Send me ID, which is indicated in the name of your files,
You will receive instructions to resolve this situation.
El modelo de negocio detrás de los ataques de ransomware
Los programas de rescate como Core (Makop) funcionan como una lucrativa empresa cibercriminal. Los atacantes atacan a individuos, empresas e incluso grandes organizaciones y exigen rescates que van desde unos pocos cientos hasta varios miles de dólares. El monto del rescate suele variar en función de la capacidad financiera percibida por la víctima.
Además de la mera encriptación de archivos, algunas variedades de ransomware utilizan tácticas de doble extorsión, en las que los atacantes roban información confidencial antes de encriptarla. En esos casos, las víctimas enfrentan una amenaza adicional: que sus datos privados se filtren o se vendan en mercados clandestinos si se niegan a pagar.
Cómo se propaga el ransomware Core (Makop)
La distribución de ransomware se basa en gran medida en tácticas engañosas. Core (Makop) no es una excepción: emplea campañas de phishing, archivos adjuntos de correo electrónico maliciosos y descargas comprometidas para infiltrarse en los sistemas. Los atacantes suelen disfrazar sus cargas útiles maliciosas como documentos legítimos, instaladores de software o avisos de actualización para engañar a los usuarios y hacer que ejecuten el ransomware.
Además de los ataques de phishing, el ransomware también puede propagarse a través de troyanos de puerta trasera, kits de explotación y sitios web comprometidos. Una vez dentro de un sistema, Core (Makop) puede aprovechar las vulnerabilidades para aumentar los privilegios y propagarse lateralmente por las redes, maximizando su impacto antes de implementar el cifrado.
Mitigación del riesgo y recuperación de datos
Para prevenir amenazas de ransomware como Core (Makop) y similares, se requiere un enfoque de seguridad proactivo. Los expertos en ciberseguridad recomiendan mantener copias de seguridad periódicas almacenadas en varias ubicaciones seguras, incluidos servicios de almacenamiento fuera de línea y basados en la nube. Esto garantiza que, incluso si los archivos están cifrados, se puedan restaurar sin pagar un rescate.
Además, las organizaciones y los usuarios individuales deben tener cuidado con los archivos adjuntos en los correos electrónicos, los enlaces de remitentes desconocidos y las descargas de software de fuentes no oficiales. La implementación de medidas de seguridad sólidas, como la autenticación multifactor (MFA) y las herramientas de detección de endpoints, también puede ayudar a identificar y bloquear los intentos de ransomware antes de que se ejecuten.
La importancia de la higiene cibernética
Si bien el ransomware sigue siendo una amenaza cibernética persistente, una higiene cibernética adecuada puede reducir significativamente el riesgo de infección. Los usuarios deben mantener actualizados sus sistemas operativos y aplicaciones para corregir las vulnerabilidades de seguridad conocidas. Además, evitar las descargas de software no autorizadas, deshabilitar las macros en los archivos adjuntos de los correos electrónicos y analizar los archivos entrantes antes de abrirlos son pasos cruciales para prevenir la infiltración de ransomware.
Los expertos en seguridad también destacan la importancia de la formación de los empleados en las organizaciones. Dado que los correos electrónicos de phishing siguen siendo el principal método de distribución de ransomware, es fundamental educar a los empleados para que reconozcan los mensajes sospechosos y practiquen un comportamiento cauteloso en línea a fin de minimizar la exposición a amenazas como Core (Makop) Ransomware.
Puntos clave
Los cibercriminales perfeccionan continuamente sus tácticas de ransomware, lo que hace que amenazas como Core (Makop) sean cada vez más sofisticadas. Algunas familias de ransomware incorporan ahora mecanismos de ataque automatizados, técnicas de autopropagación y capacidades de sigilo para evadir la detección. A medida que las medidas de seguridad mejoran, los atacantes se adaptan, lo que pone de relieve la necesidad de una vigilancia constante en materia de ciberseguridad.
La mejor defensa contra el ransomware sigue siendo la prevención. Al implementar protocolos de seguridad sólidos, mantenerse informados sobre las amenazas emergentes y realizar copias de seguridad periódicas, los usuarios pueden reducir los riesgos de estos esquemas de extorsión digital.
