AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Profero logra descifrar el ransomware DarkBit y permite recuperar archivos sin pagar rescate

admin

Introducción

En un entorno donde la sofisticación de las amenazas ransomware sigue en aumento, la noticia de que una firma de ciberseguridad ha logrado descifrar la protección de una variante activa de ransomware supone un hito relevante para la comunidad profesional. Recientemente, el equipo de Profero ha conseguido romper el cifrado utilizado por el grupo DarkBit, permitiendo a las víctimas recuperar sus archivos sin necesidad de abonar el rescate exigido por los atacantes. Este logro no sólo representa una victoria técnica, sino que también ofrece un respiro a las organizaciones que se enfrentan a la disyuntiva ética y legal del pago de rescates.

Contexto del Incidente o Vulnerabilidad

DarkBit es una operación de ransomware identificada desde principios de 2023, con ataques dirigidos principalmente a entidades empresariales y educativas en Europa y Oriente Medio. A diferencia de grupos más mediáticos como LockBit o BlackCat, DarkBit ha operado de manera más selectiva y menos ruidosa, pero sus campañas han demostrado una notable eficacia. El modus operandi incluye ataques de spear-phishing y explotación de vulnerabilidades conocidas en servicios expuestos, precedidos de movimientos laterales y exfiltración de datos para reforzar la extorsión.

La campaña que ha permitido a Profero analizar y descifrar el ransomware tuvo como víctima a una organización que se negó a pagar el rescate, recurriendo a los servicios de la firma israelí. El análisis forense posterior reveló detalles clave sobre la operativa y los errores cometidos por los desarrolladores del malware.

Detalles Técnicos: CVE, vectores de ataque, TTP MITRE ATT&CK, IoC

El ransomware DarkBit implementa un cifrado híbrido, combinando AES-256 en modo CBC para cifrar los archivos y RSA-2048 para salvaguardar las claves de sesión. Sin embargo, Profero identificó un defecto crítico en la gestión de claves: el generador de números aleatorios empleado para la creación de claves AES presentaba una predictibilidad significativa bajo ciertas condiciones, permitiendo su recuperación a partir del análisis de la muestra y de los archivos cifrados.

El vector de acceso inicial más frecuente en las campañas de DarkBit es el spear-phishing (MITRE ATT&CK: T1566), seguido por la explotación de vulnerabilidades en servicios RDP (T1133) o aplicaciones web. Posteriormente, se observan técnicas de movimiento lateral mediante credenciales comprometidas (T1075, T1021). Una vez que el payload del ransomware se ejecuta, los archivos son cifrados y se elimina el shadow copy (T1490) para impedir restauraciones.

Indicadores de compromiso (IoC) identificados por Profero incluyen hashes SHA256 de los binarios de DarkBit, ciertas direcciones IP de C2 (command and control) y patrones característicos en las notas de rescate. A nivel de threat intelligence, se ha detectado la reutilización de algunos artefactos en campañas recientes, lo que indica una posible compartición de herramientas entre actores.

Impacto y Riesgos

DarkBit ha afectado a un número indeterminado de organizaciones, pero según estimaciones de Profero y fuentes OSINT, al menos un 3% de los ataques de ransomware conocidos en la región EMEA durante el primer trimestre de 2024 se atribuyen a este grupo. Las cifras económicas directas derivadas de rescates pagados se sitúan en torno a los 2 millones de euros, aunque el impacto indirecto —incluyendo interrupción de operaciones, pérdida reputacional y coste de remediación— es sustancialmente mayor.

El riesgo principal reside en la posibilidad de pérdida irreversible de datos, exposición de información sensible y sanciones regulatorias en virtud del GDPR o la directiva NIS2, especialmente en sectores críticos y administración pública.

Medidas de Mitigación y Recomendaciones

Profero ha publicado un decodificador gratuito para las muestras conocidas de DarkBit, permitiendo a las organizaciones afectadas recuperar sus datos sin coste. Se recomienda realizar una copia forense de los sistemas antes de cualquier intento de descifrado y contactar con profesionales especializados en respuesta a incidentes.

Además, se insta a reforzar las políticas de autenticación multifactor, segmentar redes y mantener una política de parches actualizada, especialmente en servicios expuestos a Internet. La monitorización activa de IoC asociados y la simulación regular de ejercicios de ransomware (red teaming, purple teaming) son medidas clave para reducir la superficie de ataque.

Opinión de Expertos

Según Lior Rochberger, CTO de Profero, “la debilidad encontrada en el generador de claves de DarkBit es un recordatorio de los errores comunes en la criptografía implementada por actores criminales. No obstante, no se puede generalizar: la mayoría de variantes modernas, como BlackCat o Royal, implementan criptografía sólida, lo que refuerza la importancia de la prevención”.

Desde el mundo académico, la Dra. Carmen Martínez, profesora de ciberseguridad en la UPM, destaca: “La capacidad de ingeniería inversa de equipos como Profero demuestra el valor de la colaboración entre sector privado y víctimas. Cada descifrado exitoso reduce la rentabilidad del ransomware y desincentiva su proliferación”.

Implicaciones para Empresas y Usuarios

Para los responsables de seguridad (CISOs), la noticia supone una oportunidad para revisar procedimientos de recuperación y fortalecer la concienciación del personal. La existencia de una herramienta de descifrado puede mitigar el impacto inmediato, pero no elimina el riesgo de filtración de datos ni las implicaciones legales asociadas. Además, la tendencia a la doble extorsión obliga a evaluar la protección de la información sensible más allá del mero backup.

Los usuarios deben extremar la precaución ante correos sospechosos y reforzar la gestión de permisos y contraseñas, mientras que los administradores de sistemas han de priorizar la detección de movimientos laterales y exfiltración.

Conclusiones

La irrupción de una herramienta de descifrado para DarkBit representa un avance significativo en la lucha contra el ransomware, pero no debe generar una falsa sensación de seguridad. El sector debe seguir apostando por la prevención, la formación y la colaboración en el intercambio de inteligencia. La rápida adaptación de los grupos criminales obliga a la industria a anticiparse y a no bajar la guardia.

(Fuente: www.bleepingcomputer.com)