Hidden Tear, un ransomware de código abierto causa estragos.

ramsomware

Si hay algo que viene en constante crecimiento es el ransomware, hace algunos años este método era desconocido para muchos, pero ha tomado cada vez más importancia para los cibercriminales por el método que utiliza y los beneficios económicos que pueden llegar a lograr en poco tiempo. En este caso hablamos de Hidden Tear, un ransomware extremadamente difícil de detectar y eliminar, su método de operar es el mismo de siempre, cifra datos en el equipo y pide una suma de dinero para dejarlos como antes, si no se llega a para el rescate los datos quedarían cifrados e inclusive los perderíamos para siempre. Pero aquí no termina todo, porque en caso de pagar, las garantías de hacernos con los datos nuevamente no son del 100%, por lo que se recomienda en primer lugar tener sumo cuidado, y en caso de caer en estas trampas dar los archivos por perdidos antes de pagar.
Este ransomware es tan complejo que no siempre volveremos a tener nuestros archivos. Todo comenzaba cuando un investigador de seguridad decidió crear una variante de este tipo de malware, pero no una común, sino que fuera con código abierto para que todos pudieran utilizarlo para investigar su funcionamiento. Su pieza recibió el nombre de Hidden Tear y la publicó en el sitio web GitHub para que las empresas de seguridad lo investigaran en busca de una solución, pero no fue así, una vez que se publica algo en la red es imposible controlar qué fin puede tener. Es así como mientras unas personas investigan en busca de soluciones, otras aprovecharon el código abierto de Hidden Tear para hacer sus propias versiones de este ransomware y atacar a otras personas. De momento es muy complicado que un antivirus detecte este ransomware y por eso los expertos se encontraban analizándolo en busca de una solución, quizás, el error más grande fue publicarlo en un sitio público al acceso de todo el mundo.
El ransomware ahora se encuentra en la red y está haciendo de las suyas, una variante de Hidden Tear, que responde al nombre de Magic, causa una pérdida irrecuperable de los datos en los equipos que infecta, debido a que las claves de cifrado fueron borradas del servidor, por lo que es imposible recuperar los archivos aunque se page el rescate. El código fuente de Hidden Tear ya fue eliminado de GitHub, pero demasiado tarde, muchos usuarios fueron capaces de descargarlo y crearon ramificaciones del proyecto, y ahora es imposible controlarlo. Si bien muchos usuarios y expertos siguen buscando una solución al problema, los cibercriminales siguen creando variantes de Hidden Tear.
Según la firma de seguridad Kaspersky Lab, en uno de sus más recientes informes a causa de este ransomware informa que, ya se pudieron detectar más de 24 tipos de variantes diferentes con base en Hidden Tear, y así seguirá en aumento en el correr de los días. Los expertos señalan que cada una de ellas funciona de una manera diferente, una cifra los datos del escritorio, otra pide al usuario que envíe la clave de cifrado manualmente mediante un correo electrónico, otras utilizan un servidor de comando para hacer el ataque más sofisticado. Lo preocupante del asunto es que en varios casos estos ransomware están causando pérdidas de datos irrecuperables, debido a una mala configuración del servidor de comando, muchas veces hecho a propósito por parte de los cibercriminales. ¿Por qué? Únicamente para hacer daño a las personas afectadas.
Su creador original, el turco Utku Sen, no sabía que su publicación iba a crear este caos, el ransomware de código abierto fue creado para aprender más sobre sus características y funcionamiento, estas variantes son cada vez más comunes en la red y su cometido era la investigación. Nunca se imaginó que algunos usuarios lo utilizarían para atacar a otras personas. Qué ingenuo.
El error más grande que cometió es haber creado un ransomware funcional y publicarlo en el sitio GitHub, Utku Sen pudo haber publicado ciertas normas de seguridad que impidieran que cualquier persona lo pudiera utilizar a su gusto. A pesar de que el proyecto original ya está retirado el sitio, el código ya se encuentra en manos de los cibercriminales. En cambio, desde el sitio web del creador hay un comunicado expresando que si algún investigador de seguridad está interesado en el código de su ransomware, puede solicitárselo mediante correo electrónico. Esperemos que esta vez sí caiga en las manos correctas, a pesar de que ya es demasiado tarde.
Las principales firmas de seguridad se tendrán que poner en marcha para buscarle una solución a este ransomware que está dando vueltas por la red. Mientras eso sucede, es recomendable ser cuidadosos con los correos electrónicos y las descargas, y como siempre, utilizar el sentido común.

Deja un comentario