Cipher (Proton) Ransomware: otro actor en la extorsión cibernética
Los ataques de ransomware son una de las preocupaciones más urgentes en el mundo de la ciberseguridad, y con frecuencia surgen nuevas variantes. Una de ellas, Cipher (Proton) Ransomware, es otro de los protagonistas de este campo. Al igual que otras familias de ransomware, Cipher (Proton) está diseñado para cifrar los archivos de las víctimas y exigir un pago por su descifrado. En este artículo, analizaremos qué es Cipher (Proton) Ransomware, cómo funciona y qué es lo que busca en última instancia.
Table of Contents
¿Qué es el ransomware Cipher (Proton)?
El ransomware Cipher (Proton) pertenece a la familia más grande de ransomware Proton , una cepa notoria de malware que ataca los archivos de los usuarios para cifrarlos. Una vez que se infiltra en un sistema, el ransomware Cipher comienza su trabajo malicioso cifrando varios tipos de archivos y modificando sus nombres. Las víctimas encontrarán sus archivos con la dirección de correo electrónico de los atacantes y la extensión ".cipher". Por ejemplo, un archivo originalmente llamado "document.pdf" puede aparecer como "document.pdf.[watchdogs20@tuta.io].cipher" después del cifrado.
La siguiente etapa del ataque consiste en enviar notas de rescate a la víctima. Estas notas se muestran en varios lugares, incluido un mensaje de pantalla completa antes de la pantalla de inicio de sesión, el fondo de pantalla del escritorio y un archivo de texto llamado "#Read-for-recovery.txt". Su brevedad hace que las notas de Cipher (Proton) Ransomware sean diferentes de otros ransomware. A diferencia de las notas de rescate tradicionales que detallan el proceso de cifrado y las instrucciones para descifrarlo, los mensajes de Cipher simplemente instan a la víctima a ponerse en contacto con los atacantes sin proporcionar mucho contexto.
Vea la nota a continuación:
Email 1:
watchdogs20@tuta.ioEmail 2:
watchdogs20@cock.liSend messages to both emails at the same time
So send messages to our emails, check your spam folder every few hours
ID: -
If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
Then send us a message with a new email
¿Qué hace el ransomware?
El ransomware es un software malicioso que bloquea los archivos de la víctima mediante su cifrado, dejándolos inaccesibles hasta que se pague un rescate. Los atacantes suelen utilizar algoritmos de cifrado potentes, lo que hace que sea casi imposible para la víctima recuperar el acceso a sus datos sin la clave de descifrado. Por supuesto, los atacantes tienen la clave y ofrecen liberarla una vez que se realiza el pago del rescate, normalmente en criptomonedas para mantener el anonimato.
El ransomware Cipher (Proton) funciona según este mismo principio. La víctima queda en una posición precaria una vez que el ransomware cifra los archivos del usuario. Sin copias de seguridad ni los medios para descifrar los archivos, queda a merced de los atacantes. La triste verdad es que, en muchos casos, los atacantes pueden no proporcionar la clave de descifrado prometida incluso después de pagar el rescate. Esto puede dejar a las víctimas con pérdidas económicas y archivos bloqueados de forma permanente.
Los objetivos del ransomware Cipher (Proton)
El objetivo principal del ransomware Cipher (Proton), al igual que otras variantes de ransomware, es obtener ganancias económicas. Los atacantes buscan extorsionar a sus víctimas creando una situación en la que sus datos sean inaccesibles. Aprovechan este poder para exigir pagos de rescate, que suelen oscilar entre unos pocos cientos y varios miles de dólares. El monto del rescate suele depender del objetivo; a los particulares se les pueden pedir sumas menores, mientras que a las empresas e instituciones se les piden sumas significativamente mayores.
Sin embargo, los expertos en ciberseguridad desaconsejan encarecidamente pagar el rescate. No solo no hay garantía de que los atacantes proporcionen la clave de descifrado, sino que además el pago financia otras actividades delictivas. Apoyar a los operadores de ransomware perpetúa el ciclo de cibercrimen, lo que les permite seguir atacando a nuevas víctimas. Además, las organizaciones de seguridad cibernética y de aplicación de la ley subrayan que el descifrado suele ser imposible sin la participación de los delincuentes, excepto en casos excepcionales en los que el ransomware está mal diseñado.
Cómo se propaga el ransomware Cipher (Proton)
El ransomware Cipher (Proton) se propaga a través de diversas técnicas de distribución maliciosas, muchas de las cuales se basan en errores y manipulaciones humanas. Los cibercriminales suelen utilizar correos electrónicos de phishing, en los que se incluyen archivos o enlaces maliciosos dentro de mensajes aparentemente legítimos. Una vez que el destinatario abre el archivo adjunto o hace clic en el enlace, el ransomware se ejecuta en su sistema y cifra los archivos en cuestión de segundos.
Además de los ataques de phishing, el ransomware como Cipher (Proton) se puede propagar a través de actualizaciones de software falsas, junto con software pirateado o anuncios maliciosos. También se sabe que algunas versiones de ransomware se propagan a través de redes locales o dispositivos extraíbles como unidades USB, infectando varios sistemas dentro de una organización o un hogar.
Una vez que el ransomware se ha infiltrado en un sistema, comienza su proceso de cifrado. Con Cipher (Proton), los archivos de la víctima se renombran y se les agrega la extensión ".cipher", lo que indica que han sido cifrados y ya no se pueden utilizar. Las notas de rescate que deja el ransomware Cipher brindan a la víctima instrucciones sobre cómo ponerse en contacto con los atacantes, pero ofrecen poca información sobre el proceso de cifrado o el costo del rescate en sí.
Por qué son importantes las copias de seguridad
Para las víctimas del ransomware Cipher (Proton), las copias de seguridad son la única forma fiable de restaurar los archivos. Sin embargo, estas copias de seguridad deben almacenarse en dispositivos o servidores separados, lejos de la máquina infectada, ya que el ransomware suele atacar unidades conectadas o asignadas. Quienes no tengan copias de seguridad pueden enfrentarse a la difícil elección de perder sus archivos de forma permanente o negociar con los ciberdelincuentes.
Mantener copias de seguridad periódicas y actualizadas en varias ubicaciones es una defensa fundamental contra los ataques de ransomware. Los servidores remotos, el almacenamiento en la nube y las unidades externas desconectadas son opciones viables para proteger datos valiosos. Al mantener copias de seguridad en diversas ubicaciones, las víctimas pueden recuperar sus archivos sin depender de los caprichos de los ciberdelincuentes.
El panorama más amplio: una amenaza creciente
Cipher (Proton) Ransomware es solo un ejemplo de una larga lista de ataques de ransomware dirigidos a individuos y organizaciones. Otras variantes recientes, como Terminator, Bixi y ScRansom , funcionan de manera similar: cifran archivos y exigen un pago. Si bien los métodos y las técnicas pueden variar ligeramente entre las familias de ransomware, el objetivo final sigue siendo el mismo: extorsionar a la víctima a cambio de restaurar el acceso a sus archivos.
A medida que el ransomware continúa evolucionando, también deben hacerlo las estrategias utilizadas para defenderse de él. Si se mantienen alertas, cautelosos y proactivos a la hora de proteger las copias de seguridad, los usuarios pueden protegerse de ser víctimas de ransomware como Cipher (Proton). La preparación es la mejor defensa en un mundo digital plagado de amenazas cibernéticas.
