¿Qué es el ransomware 0xxx? Detección, protección y recuperación
0xxx es un tipo de ransomware que apareció por primera vez a principios de 2021 y desde entonces ha estado causando daños masivos a organizaciones de todo el mundo. Básicamente, 0xxx es una infección ransomware que cifra los archivos del PC de un usuario añadiendo .0XXX a extensiones de archivo comunes como .txt, .docx, .xlsx. Una vez infectados, los usuarios ya no pueden acceder a los archivos renombrados. Para recuperar el acceso a los datos bloqueados, se pide a la víctima que pague un rescate en bitcoin. A continuación, los ciberdelincuentes detrás de la infección 0xxx afirman que proporcionarán una herramienta de descifrado a cambio.
Tras una breve introducción sobre el ransomware y sus dos tipos principales, esta entrada del blog trata sobre el ransomware 0xxx, los métodos de protección de datos y cómo recuperar los datos si su sistema está infectado.
¿Qué es el ransomware?
El ransomware es un tipo de malware que suele instalarse en un dispositivo sin el conocimiento ni el consentimiento del usuario. En la mayoría de los casos, una vez infectado el dispositivo, el ransomware cifra algunos o todos los archivos, y los ciberdelincuentes exigen un pago a cambio de una herramienta de descifrado (que puede o no proporcionarse incluso después de pagar el rescate). La mayoría de las veces, el ransomware se instala haciendo clic en enlaces de correos electrónicos de phishing o abriendo archivos adjuntos maliciosos de remitentes desconocidos.
El ransomware no sólo bloquea el acceso a los archivos, sino que también puede propagarse de un dispositivo a otro dentro de una red copiándose en dispositivos de almacenamiento en red o cuentas de almacenamiento en la nube. Esto por sí solo clasifica al ransomware como una de las formas más peligrosas de malware y ciberamenazas en general.
La idea detrás del ransomware es dificultar al máximo que las víctimas recuperen sus datos. Algunas variantes de ransomware sacrifican la integridad de los datos tras el cifrado o incluso permiten a los hackers realizar cambios o eliminar archivos. Esto hace que sea excepcionalmente más difícil para las víctimas recuperar los datos y puede resultar en la pérdida permanente de datos sin backups para utilizar para restauraciones puntuales.
Tipos de ransomware
El ransomware puede clasificarse en dos tipos principales: de no cifrado y de cifrado.
El ransomware de no cifrado no cifra los archivos. En cambio, mantiene tu sistema como rehén. Este tipo de ransomware muestra un mensaje durante el inicio del sistema operativo o al abrir un navegador, indicando que el dispositivo en uso ha sido tomado por el gobierno (o una agencia gubernamental) debido a actividades ilegales. Se pide un rescate a cambio de retirar los supuestos cargos contra ti y desbloquear tu dispositivo. Por lo general, el ransomware sin cifrado no afecta a la integridad de los datos y puede eliminarse del dispositivo.
Por otro lado, el ransomware de cifrado se infiltra en su dispositivo, normalmente a través de un archivo adjunto a un correo electrónico malicioso o un enlace de phishing, y bloquea el acceso a los archivos y programas de ese dispositivo hasta que pague el rescate especificado. Pero incluso después de pagar el rescate, no está garantizado que reciba una herramienta de descifrado para recuperar el acceso a sus archivos. En algunos casos, los atacantes también pueden amenazar con hacer públicos algunos datos sensibles.
El ransomware de cifrado es el tipo de ransomware más dañino y posiblemente una de las ciberamenazas más perniciosas que han aparecido en los últimos años. Las empresas que pagan grandes cantidades de dinero para recuperar sus datos animan a los ciberdelincuentes a ampliar sus actividades y dirigirse a más víctimas.
¿Qué es 0xxx?
0xxx es un tipo de ransomware de cifrado que utiliza los algoritmos AES y RSA para cifrar archivos. AES y RSA son potentes estándares de seguridad de cifrado empleados por gobiernos y organizaciones con datos confidenciales. A lo largo de los años, los estándares AES y RSA se han convertido poco a poco en un elemento básico del mundo del ransomware, ya que ambos algoritmos se consideran la principal fuerza impulsora de algunas de las cepas más notorias, como Cryptolocker y Teslacrypt.
Al igual que otros ransomware de la misma categoría, como Redeemer, Ouelezin Zebi e Iqll, 0xxx deniega el acceso a los archivos cifrándolos, cambia el nombre de sus extensiones y crea un archivo de texto en cada una de las carpetas de la unidad infectada que contiene un mensaje en el que se pide un rescate.
El archivo «!0XXX_DECRYPTION_README.TXT» generado incluye un conjunto de instrucciones que las víctimas deben seguir para descifrar sus datos. Pero antes, se informa a las víctimas de que todos sus archivos han sido cifrados con el virus 0xxx y que se puede comprar una herramienta de descifrado en bitcoin.
A continuación, se pide a las víctimas que envíen por correo electrónico el identificador único (un código hexadecimal de 32 dígitos en mayúsculas) que se les ha asignado junto con tres archivos cifrados a la dirección facilitada. Como prueba de concepto, se devuelve a las víctimas un correo electrónico con los tres archivos enviados anteriormente, completamente descifrados y libres de virus. En el mismo correo electrónico, las víctimas recibirán la dirección del monedero bitcoin al que deben transferir el rescate especificado. Por último, los ciberdelincuentes detrás del virus 0xxx se comprometen a enviar la herramienta de descifrado una vez realizado el pago.
A continuación se muestra una captura de pantalla de un archivo de texto del ransomware 0xxx que indica a la víctima cómo pagar el rescate:
¿Cómo infecta 0xxx los ordenadores?
Aunque el ransomware depende de una multitud de vectores de infección para propagarse, las dos formas más comunes utilizadas por los ciberdelincuentes hoy en día para propagar 0xxx son los correos electrónicos de phishing y los troyanos maliciosos.
El phishing, el más frecuente de todos los vectores, se ha vuelto más sofisticado y peligroso que nunca. Un correo electrónico de phishing es una estafa que engaña al destinatario para que haga clic en un enlace o descargue contenido malicioso que puede provocar un ataque de ransomware. Los correos electrónicos de phishing están diseñados para que parezcan enviados por una fuente de confianza, por ejemplo, un banco o una empresa de tarjetas de crédito. Estos correos electrónicos pueden incluir archivos que actúan como portadores de ransomware. Una vez descargados e instalados, los archivos maliciosos pueden infectar inmediatamente el sistema con el ransomware 0xxx.
Un troyano es un tipo de malware que, en apariencia, parece un programa legítimo, pero está programado para causar daños a los datos de un sistema o red. Los troyanos suelen descargarse accidentalmente de sitios web sospechosos que afirman alojar herramientas de activación ilegales (también denominadas «crack») y actualizaciones falsas de aplicaciones como Google Chrome o Microsoft Office. Cuando se instala, el malware troyano puede abrir una puerta trasera a un actor malicioso, que puede ver y manipular los datos del sistema anfitrión. Si el agresor consigue acceder al sistema, puede inyectar ransomware como 0xxx.
¿Cómo detectar el ransomware 0xxx?
Existen algunos indicadores que pueden ayudarle a detectar el ransomware 0xxx en su dispositivo:
- Cambios sospechosos en las extensiones de los archivos: La primera orden de acción del ransomware 0xxx es añadir .0XXX a todas las extensiones de archivo. Este ransomware en particular mantiene intactos los nombres originales de los archivos. Por ejemplo, documento.pdf se convierte en documento.pdf.0XXX. No se trata de un simple cambio de extensión, sino de una indicación de que el archivo ha sido cifrado.
- Alta actividad de la CPU: El ransomware 0xxx consume muchos recursos y, como resultado, los programas pueden ejecutarse y cargarse notablemente más despacio. Cifrar y renombrar miles de archivos es una tarea que consume mucha CPU y puede ralentizar el sistema hasta el punto de que no responda.
- Imposibilidad de acceder a los archivos: El objetivo principal del ransomware 0xxx es impedirle el acceso a los archivos. Cuando están cifrados, los archivos y documentos no pueden abrirse y necesitan una herramienta de descifrado para volver a su estado original. La herramienta de descifrado sólo se puede proporcionar cuando se ha pagado el rescate especificado.
- Comunicación de red anormal: Si su sistema está infectado por el ransomware 0xxx, puede experimentar una ralentización de Internet. Los ciberdelincuentes que están detrás de los ataques de ransomware pueden establecer un sistema de comunicación entre sus servidores y los ordenadores infectados para manipular los archivos. Esto puede provocar constantes problemas de conexión.
¿Cómo proteger los sistemas contra el ransomware?
Las organizaciones de todos los tamaños no deben subestimar la amenaza del ransomware. Por muy sólido que sea su sistema de seguridad, el ransomware puede introducirse en su ordenador o en el de un empleado. Ninguna organización es totalmente inmune a la amenaza del ransomware. Por lo tanto, para proteger los datos de su organización contra cualquier forma de ransomware, tiene que adoptar un enfoque por capas.
Educar a los compañeros
Cree un programa eficaz de formación de empleados sobre ransomware para educar a los compañeros de trabajo sobre qué es el ransomware y cómo funciona. También debe cubrir cómo evitar ser infectado por malware y cómo responder a un ataque de ransomware en caso de que se produzca.
Enviar regularmente correos electrónicos a los empleados sobre las noticias de ransomware y los peligros asociados con las amenazas cibernéticas es una buena práctica, especialmente si el flujo de trabajo de su organización depende de herramientas de productividad y colaboración basadas en la nube como Microsoft Office 365.
Realizar sesiones periódicas de formación sobre ransomware puede ayudar mucho a los empleados a diferenciar entre el contenido fraudulento y el legítimo que se encuentra en correos electrónicos, archivos adjuntos y sitios web. En consecuencia, la probabilidad de acciones erróneas como abrir enlaces de phishing y descargar software malicioso puede disminuir significativamente.
Configurar filtros de correo electrónico
La mayoría de los principales servicios de correo electrónico incluyen filtros que pueden protegerte a ti o a tus compañeros de las ciberamenazas, incluido el ransomware. Algunos servicios ofrecen medidas de seguridad avanzadas, como la detección y el rechazo automáticos de correos electrónicos sospechosos procedentes de fuentes no fiables o desconocidas. Anteriormente cubrí cómo configurar las políticas antiphishing y antiimplantación de Microsoft Defender para Office 365 y enumeré todos los pasos necesarios para maximizar la seguridad del correo electrónico.
Escanee y supervise su sistema
La ejecución programada de análisis completos del sistema a través de un programa antivirus o antimalware actualizado puede ayudar a detectar actividades sospechosas, como un cambio masivo de extensión de archivos o un uso inusual del disco. Un antivirus con la última definición puede neutralizar una amenaza de ransomware poniendo en cuarentena el software malicioso descargado, limitando así la propagación de la infección por el sistema y la red. Además, asegúrese de instalar los parches de seguridad más recientes para su sistema operativo en cuanto estén disponibles.
Backup de datos
Hacer backups con regularidad siguiendo la regla 3-2-1 garantiza que tus datos puedan sobrevivir a un ataque de ransomware con daños mínimos. La regla 3-2-1 es un método comúnmente utilizado y eficaz para hacer backup de datos. La regla dicta que debes guardar al menos 3 copias de tus datos y almacenarlas en 2 tipos diferentes de soportes, manteniendo 1 de las copias externa.
Además, es posible que desee adoptar nuevas tecnologías de backups, como los backups inmutables, para proteger sus activos de datos frente al ransomware. Con los backups inmutables, que se basan en el modelo WORM (Write Once Read Many), sus datos se guardan en un volumen de almacenamiento que puede escribirse una sola vez. Se puede acceder a los datos de ese volumen muchas veces, pero no se pueden sobrescribir, modificar ni borrar durante un periodo de tiempo determinado.
¿Cómo recuperar archivos tras un ataque de ransomware 0xxx?
Si su ordenador está infectado con el ransomware 0xxx, no podrá recuperar ningún dato a menos que pague el rescate, o al menos eso es lo que los ciberdelincuentes quieren que crea. Aunque los programas antivirus o antimalware pueden eliminar el malware y limitar su propagación, no ofrecen la posibilidad de restaurar los archivos ya infectados. La única solución es recuperar los archivos de una copia de seguridad, si se creó una antes de la infección y se almacenó en una ubicación diferente.
Si busca una solución completa de protección de datos, considere la posibilidad de implantar NAKIVO Backup & Replication. NAKIVO Backup & Replication puede garantizar una protección de alto nivel para todos los entornos, incluidos los virtuales, físicos, en la nube y SaaS. Utilice la solución para proteger datos de VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Amazon EC2, máquinas Windows/Linux y Microsoft 365.
NAKIVO Backup & Replication ofrece a sus datos copiados otra capa de protección contra el ransomware. La solución le permite hacer backup de sus datos inmutables durante todo el tiempo que necesite, tanto en el almacenamiento local del sistema operativo Linux como en buckets de Amazon S3. De esta forma, sus copias de backups no podrán ser modificadas, sobrescritas o borradas hasta que expire ese periodo. Con sus backups bloqueados, los datos de las copias de seguridad están protegidos del cifrado por ransomware y puede recuperarlos rápidamente si un ataque malicioso como 0XXX golpea sus sistemas.
