Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware Mortar

Ransomware Mortar

Por Mezo en Ransomware
Traducir a:

El malware sigue siendo una de las amenazas de ciberseguridad más importantes para organizaciones e individuos. Los ataques modernos de ransomware pueden interrumpir las operaciones comerciales, causar graves pérdidas financieras y comprometer información confidencial en cuestión de horas. A medida que los grupos de ransomware se vuelven más sofisticados, mantener controles de seguridad sólidos y defensas proactivas es fundamental para proteger los datos valiosos y garantizar la continuidad operativa.

El ransomware Mortar: una visión general

El ransomware Mortar es una variante de malware que cifra archivos, identificada por investigadores de ciberseguridad. Esta amenaza está diseñada principalmente para atacar entornos corporativos, donde los atacantes buscan maximizar la interrupción de las operaciones y presionar a las víctimas para que paguen un rescate. Una vez desplegado en una red comprometida, Mortar cifra los archivos y deja una nota de rescate cuyo nombre corresponde al identificador único de la víctima, con el formato «README-[ID de la víctima].txt».

Una característica distintiva de este ransomware es su comportamiento de renombrado de archivos. Durante el cifrado, Mortar añade un identificador único de víctima a cada archivo afectado. Por ejemplo, un archivo originalmente llamado '1.png' puede convertirse en '1.png.4RcrXfvVksS5ACA', mientras que un documento como '2.pdf' podría transformarse en '2.pdf.4RcrXfvVksS5ACA'. Este mismo identificador se utiliza posteriormente en el nombre del archivo de la nota de rescate, creando una asociación directa entre la víctima y el ataque.

Proceso de cifrado y demandas de rescate

Tras infiltrarse en una red, Mortar cifra una amplia gama de datos, incluyendo documentos, bases de datos, fotografías y otros archivos empresariales valiosos. La nota de rescate afirma que los atacantes utilizaron los algoritmos de cifrado AES-256 y RSA-2048 para bloquear la información de la víctima. Si bien este tipo de afirmaciones son comunes entre los operadores de ransomware, el objetivo general sigue siendo el mismo: hacer que los datos sean inaccesibles sin la clave de descifrado correspondiente.

La nota de rescate informa a las víctimas que la única forma de recuperar sus archivos es comprando una herramienta de descifrado a los atacantes. En lugar de especificar un monto fijo de rescate, los delincuentes dirigen a las víctimas a un portal basado en Tor y les proporcionan credenciales de acceso que consisten en un nombre de usuario y una contraseña. Este método les permite negociar los pagos individualmente y, potencialmente, ajustar las exigencias de rescate según el valor percibido de la organización víctima.

¿Se pueden recuperar los archivos cifrados?

Recuperar archivos cifrados por ransomware suele ser extremadamente difícil sin acceso al mecanismo de descifrado de los atacantes. En raras ocasiones, los investigadores de ciberseguridad descubren errores de implementación o vulnerabilidades criptográficas que permiten la creación de descifradores gratuitos. Sin embargo, estos casos son poco frecuentes, y las víctimas de ransomware bien diseñado suelen tener opciones de recuperación limitadas.

Pagar el rescate se considera generalmente una decisión de alto riesgo. Los ciberdelincuentes no tienen la obligación de proporcionar una herramienta de descifrado funcional tras recibir el pago. Muchas víctimas han experimentado situaciones en las que se transfirieron los fondos, pero nunca se entregaron las herramientas de recuperación, o bien las proporcionadas no lograron restaurar los datos correctamente. En consecuencia, el pago puede ocasionar pérdidas económicas adicionales sin garantizar la recuperación de los archivos.

Vectores de infección y técnicas de ataque

Mortar puede llegar a las víctimas mediante diversos métodos de ataque comunes en las campañas de ransomware. El phishing sigue siendo uno de los vectores de infección más frecuentes. Los atacantes distribuyen correos electrónicos con archivos adjuntos maliciosos, como archivos comprimidos, archivos ejecutables o documentos de Microsoft Office con macros dañinas. Una vez abiertos, estos archivos pueden iniciar el proceso de despliegue del ransomware.

Otras vías de infección incluyen software troyano, mecanismos de actualización falsos, campañas publicitarias maliciosas, portales de descarga poco fiables y aplicaciones pirateadas distribuidas por canales no oficiales. Estos métodos se aprovechan de la confianza del usuario y de las deficiencias en los controles de seguridad para acceder a los sistemas.

En las intrusiones corporativas dirigidas, los ciberdelincuentes pueden emplear técnicas más avanzadas. Con frecuencia, intentan comprometer los servicios de Protocolo de Escritorio Remoto (RDP) mediante ataques de fuerza bruta contra credenciales débiles. También pueden explotar vulnerabilidades sin parchear en sistemas conectados a internet para obtener acceso inicial antes de propagarse por la red e instalar ransomware en varios dispositivos simultáneamente.

Cómo responder a una infección de mortero

Una vez detectado Mortar, su contención inmediata es fundamental. Eliminar el ransomware de los sistemas afectados ayuda a prevenir futuras actividades de cifrado y reduce el riesgo de daños adicionales en todo el entorno. Sin embargo, la eliminación del malware no debe confundirse con la recuperación de datos. Eliminar el programa malicioso no restaura automáticamente los archivos cifrados.

El método de recuperación más fiable sigue siendo la restauración de copias de seguridad limpias creadas antes del ataque. Las copias de seguridad deben almacenarse por separado de los sistemas de producción para evitar que el ransomware cifre los repositorios de copias de seguridad durante un incidente. Las organizaciones que mantienen copias de seguridad seguras y aisladas suelen estar en una posición mucho más sólida para recuperarse de los ataques de ransomware sin tener que negociar con los ciberdelincuentes.

Cómo construir defensas sólidas contra el ransomware

La protección eficaz contra el ransomware requiere una estrategia de seguridad por capas que combine tecnología, concienciación del usuario y mantenimiento proactivo. Las organizaciones deben actualizar periódicamente los sistemas operativos, las aplicaciones y los dispositivos de red para eliminar las vulnerabilidades que los atacantes suelen explotar. Las políticas de autenticación sólidas, especialmente para los servicios de acceso remoto, pueden reducir significativamente el riesgo de acceso no autorizado.

Igualmente importante es el desarrollo de una estrategia de respaldo sólida. Los datos críticos deben copiarse en múltiples ubicaciones, incluyendo almacenamiento fuera de línea o desconectado al que no se pueda acceder desde sistemas comprometidos. Las pruebas de respaldo periódicas garantizan que los procedimientos de restauración funcionen correctamente durante una emergencia.

Las principales prácticas de seguridad incluyen:

  • Realizar copias de seguridad frecuentes almacenadas en ubicaciones separadas y protegidas.
  • Aplicar las actualizaciones y parches de seguridad tan pronto como estén disponibles.
  • Utilizar contraseñas seguras y únicas, y habilitar la autenticación multifactor.
  • Restringir los servicios de acceso remoto innecesarios y supervisar los intentos de inicio de sesión.
  • Capacitar a los empleados para que reconozcan los correos electrónicos de phishing y los archivos adjuntos sospechosos.
  • Implementación de soluciones de protección de endpoints y monitorización de red de reconocida reputación.

Las organizaciones también deben adoptar el principio de mínimo privilegio, otorgando a los usuarios solo el acceso necesario para sus funciones. La monitorización continua, las auditorías de seguridad y la planificación de la respuesta ante incidentes refuerzan aún más la resistencia frente a campañas de ransomware como Mortar. Una combinación de controles preventivos, capacidades de detección rápida y sistemas de copia de seguridad fiables sigue siendo la defensa más eficaz contra las amenazas modernas de cifrado de archivos.

Conclusión

El ransomware Mortar representa una grave amenaza para las redes corporativas debido a su capacidad para cifrar datos valiosos, interrumpir operaciones y presionar a las víctimas para que paguen por el descifrado. Al añadir identificadores únicos a los archivos cifrados y dirigir a las víctimas a un portal de rescate específico, los atacantes demuestran un enfoque estructurado y dirigido. Si bien la recuperación de archivos cifrados puede ser compleja, las organizaciones que priorizan prácticas sólidas de ciberseguridad, mantienen copias de seguridad aisladas y abordan proactivamente las vulnerabilidades pueden reducir sustancialmente el impacto de los incidentes de ransomware y mejorar su postura de seguridad general.

System Messages

The following system messages may be associated with Ransomware Mortar:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

Tendencias

Estafa de correo electrónico de colaboración de...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes responsables de la estafa de colaboración en LinkedIn intentan engañar a los destinatarios con lo que parece ser una consulta comercial profesional. Los correos electrónicos afirman provenir de un comprador llamado "Jonathan Spriggs" de Storex Trading Ltd., quien supuestamente encontró al destinatario a través de LinkedIn y desea hablar sobre un pedido grande de 12.000...

Estafa por correo electrónico: Su cliente de correo...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos con el asunto "Su cliente de correo electrónico Microsoft Outlook está desactualizado" son mensajes de phishing diseñados para parecer notificaciones de seguridad oficiales de Microsoft Outlook. Estos correos advierten a los destinatarios que su cliente de correo electrónico está supuestamente desactualizado y afirman que, si no lo actualizan de inmediato, podrían...

Mas Visto

Cargando...