Ded Cryptor: un ambicioso ransomware creado a partir de código abierto

El ransomware Ded Cryptor se basa en EDA2, un cifrador de código abierto. EDA2 se creó con propósitos educativos, pero las cosas salieron muy mal.

Hace poco, los angloparlantes y los rusohablantes fueron atacados con un nuevo troyano llamado Ded Cryptor. Es voraz y pide la cantidad de 2 bitcoins (casi 1 ,200 €) para el rescate. Por desgracia, no hay disponible una solución para descifrar y restaurar los archivos que Ded Cryptor ha secuestrado.

Cuando una computadora se infecta con Ded Cryptor, el malware cambia el fondo de pantalla del sistema por una imagen de un Santa Claus de aspecto demoníaco. Una imagen escalofriante y una petición de rescate, ¿verdad que se parece a cualquier otro ransomware? Pero la historia de su origen es muy interesante, como un thriller, con  personajes buenos y malos peleándose, cometiendo errores y afrontando las consecuencias.

 ¡Ransomware para todos!

Todo empezó cuando Utku Sen, un experto en seguridad de Turquía, creó un tipo de ransomware y publicó su código online. Cualquiera podía descargarlo de GitHub, un recurso web abierto y gratuito que los desarrolladores utilizan para colaborar en proyectos (el código se borró más tarde, ahora entenderás por qué).

Poner código fuente a disposición de los delincuentes era una idea revolucionaria y ellos, sin duda, lo usarían para crear sus propios cifradores (y así lo hicieron). Pero Sen, un hacker de sombrero blanco, creyó que todo experto en ciberseguridad debía comprender cómo piensan los ciberdelincuentes y cómo codifican. Creía que su enfoque ayudaría a los buenos a oponerse a los malos con más eficacia.

Un proyecto anterior al ransomware Hidden Tear también formaba parte del experimento de Sen. Desde el principio, el trabajo de Sen se desarrollaba con propósitos educativos y de investigación. Con el tiempo, desarrolló un nuevo tipo de ransomware que podía funcionar sin conexión. Luego apareció EDA2, un modelo más potente.

EDA2 tenía un cifrado asimétrico mejor que el de Hidden Tear. También podía comunicarse con un servidor de mando y control y cifrar la clave que le transmitía. Además, mostraba una imagen inquietante a la víctima.

El código fuente de EDA2 también se publicó en GitHub, lo que atrajo mucha atención y críticas hacia Utku Sen, y con motivo. Con el código fuente disponible de forma gratuita, los aspirantes a ciberdelincuentes, que ni siquiera sabían codificar bien, podían usar el ransomware de código abierto de Sen para robar dinero. ¿Acaso no lo había pensado?

Sí que lo había pensado: Sen había introducido puertas traseras en su ransomware que le permitían acceder a las claves de descifrado. Esto significa que si su malware era usado con fines maliciosos, podría obtener la dirección URL del servidor de mando y control para extraer las claves y dárselas a las víctimas. Pero había un problema: para descifrar sus archivos, las víctimas debían conocer al hacker de sombrero blanco y pedirle a él las claves. La mayoría de las víctimas nunca habían oído hablar de Utku Sen.

Tú creaste el ransomware, ¡paga tú el rescate!

Obviamente, los cifradores de terceros que se crearon con el código fuente de Hidden Tear y de EDA2 no tardaron en aparecer. Sen se ocupó de la primera versión más o menos con éxito: publicó la clave y esperó a que las víctimas la encontraran. Pero las cosas no fueron tan bien con el segundo cifrador.

Magic, el ransomware basado en EDA2, se parecía al original y no parecía ser interesante. Cuando Sen fue informado de él, trató de extraer la clave de descifrado como ya había hecho (con la puerta trasera), pero no fue posible. Los ciberdelincuentes que usaban Magic habían elegido un host gratuito para hospedar su servidor de control y comando. Cuando el proveedor del host recibió quejas sobre la actividad maliciosa, simplemente eliminó la cuenta de los delincuentes y todos sus archivos. Cualquier oportunidad de obtener las claves de descifrado desapareció con los datos.

La historia no termina aquí. Los creadores de Magic contactaron con Utku Sen y su conversación se convirtió en una larga discusión pública. Al principio ofrecieron la publicación de la llave de descifrado si Sen accedía a borrar el código fuente de EDA2 del dominio público y si, además, les pagaba 3 bitocins. Con el tiempo, ambas partes accedieron a dejar fuera del acuerdo el rescate.

Las negociaciones resultaron ser muy interesantes: los lectores conocieron la motivación política de los hackers y supieron que casi publican la clave cuando se enteraron de que un hombre había perdido todas las fotos de su hijo recién nacido a causa de Magic.

Al final, Sen borró el código fuente de EDA2 y de Hidden Tear de GitHub, pero era demasiado tarde: ya lo habían descargado muchas personas. El 2 de febrero de 2016, el experto de Kaspersky Lab Jornt van der Wiel mencionó en un artículo de SecureList que había 24 cifradores basados en Hidden Tear y EDA2. Desde entonces, la cifra no ha hecho más que aumentar.

Cómo surgió Ded Cryptor

Ded Cryptor es uno de esos descendientes. Utiliza el código abierto de EDA2, pero su servidor de control y comando se hospeda en Tor para una seguridad y privacidad mayores. El ransomware se comunica con el servidor a través del servicio tor2web que permite a los programas usar Tor sin el navegador homónimo.

En cierto modo, Ded Cryptor, creado a partir de diferentes códigos abiertos publicados en GitHub, nos recuerda al monstruo de Frankenstein. Los creadores tomaron prestado el código para el servidor proxy de otro desarrollador de GitHub y el código para enviar peticiones lo escribió, inicialmente, otro desarrollador. Un aspecto inusual del ransomware es que no envía peticiones directamente al servidor. En su lugar, instala un servidor proxy en el PC infectado y lo utiliza.

Por lo que sabemos, los desarrolladores de Ded Cryptor son rusohablantes porque, primero, la nota de rescate solo está en inglés y en ruso; y, segundo, el analista superior de Kaspersky Lab, Fedor Sinitsyn, analizó el código del ransomware y encontró la ruta del archivo C:UserssergeyDesktopдоделатьeda2-mastereda2eda2binReleaseOutputTrojanSkan.pdb. (Por cierto, el ransomware Magic también lo crearon rusohablantes).

Por desgracia, poco se sabe de cómo se expande Ded Cryptor. Según Kaspersky Security Network, el ransomware basado en EDA2 está activo principalmente en Rusia. Luego van China, Alemania, Vietnam y la India.

Tampoco hay disponible un método para descifrar los archivos afectados por Ded Cryptor. Las víctimas pueden tratar de recuperar sus datos con un punto de restauración que el sistema haya creado. Pero la mejor protección es la proactiva, ya que es mucho más fácil prevenir la infección que lidiar con las consecuencias.

Kaspersky Internet Security detecta todos los troyanos basados en Hidden Tear y en EDA2 y advierte a los usuarios cuando encuentra el archivo Trojan-Ransom.MSIL.Tear. También bloquea operaciones de ransomware y no les permite cifrar archivos.

Kaspersky Total Security hace todo lo anterior y, además, realiza copias de seguridad automáticamente, lo que puede resultar útil en cualquier situación, desde una infección de ransomware hasta la muerte imprevista del disco duro.

Consejos