Ransomware azul

En el panorama digital actual, contar con la protección suficiente contra las amenazas de malware nunca ha sido tan crucial. El ransomware, un tipo de malware particularmente potente, plantea un riesgo significativo al cifrar los datos de los usuarios y exigir un rescate a cambio. Recientemente ha surgido una de esas amenazas, el ransomware Blue, que ataca a personas y organizaciones. Comprender cómo funciona este ransomware y cómo protegerse contra él es esencial para mantener la integridad de sus datos y la seguridad de sus sistemas.

Entendiendo el ransomware Blue

Los investigadores de ciberseguridad han identificado al ransomware Blue como una variante de la famosa familia Phobos. Este software amenazante cifra los archivos de los dispositivos infectados y les cambia el nombre añadiendo el ID de la víctima, la dirección de correo electrónico givebackdata@mail.ru y la extensión ".blue". Por ejemplo, "1.doc" se convierte en "1.doc.id[9ECFA84E-2850].[givebackdata@mail.ru].blue", y "2.pdf" cambia a "2.pdf.id[9ECFA84E-2850].[givebackdata@mail.ru].blue".

La nota de rescate de la amenaza

Una vez que el ransomware Blue ha cifrado los archivos, crea los archivos "info.hta" e "info.txt" que contienen una nota de rescate. Esta nota informa a las víctimas sobre el cifrado y les indica que se pongan en contacto con los atacantes a través de la dirección de correo electrónico proporcionada con su ID único en la línea de asunto. Se recomienda a las víctimas que paguen un rescate en bitcoins para recibir una herramienta de descifrado, cuyo coste depende de la velocidad de su respuesta. Además, se advierte a las víctimas que no cambien el nombre de los archivos cifrados ni utilicen herramientas de descifrado de terceros, ya que esto podría provocar la pérdida de datos o un aumento de los costes de descifrado.

Cómo funciona el ransomware Blue

El ransomware Blue cifra los archivos almacenados tanto localmente como en recursos compartidos de red, desactiva el firewall del sistema y elimina las copias de volumen de instantáneas para evitar una recuperación sencilla. Garantiza la persistencia copiándose a sí mismo en el directorio '%LOCALAPPDATA%' y registrándose con claves de ejecución específicas. Además, recopila datos de ubicación y puede excluir ubicaciones predeterminadas de sus ataques, lo que lo convierte en una amenaza versátil y persistente.

Métodos de entrega

El ransomware de la familia Phobos , incluido Blue, suele distribuirse a través de servicios vulnerables de protocolo de escritorio remoto (RDP). Los atacantes suelen utilizar ataques de fuerza bruta y de diccionario sobre credenciales de cuentas mal administradas. Otros métodos de distribución habituales incluyen correos electrónicos fraudulentos con archivos adjuntos o enlaces infectados, tácticas de soporte técnico y explotación de vulnerabilidades en software obsoleto. Además, los ciberdelincuentes pueden propagar ransomware a través de anuncios maliciosos, sitios web comprometidos o engañosos, redes peer-to-peer (P2P), descargadores de terceros y unidades USB infectadas.

Cómo reforzar su seguridad: cómo defenderse del ransomware

• Copias de seguridad periódicas : realizar copias de seguridad periódicas de sus datos es una de las defensas más eficaces contra el ransomware. Asegúrese de que las copias de seguridad se almacenen sin conexión o en una red independiente para evitar cualquier posibilidad de que se vean comprometidas durante un ataque.
• Contraseñas seguras y autenticación multifactor : cree contraseñas seguras y únicas para todas sus cuentas. Habilite la autenticación multifactor (MFA) siempre que sea posible. De esta manera, se reducen significativamente los riesgos de acceso no autorizado mediante ataques de fuerza bruta o de diccionario.
• Mantenga actualizado el software : actualice periódicamente todo el software, incluidos los programas y los sistemas operativos, para corregir las vulnerabilidades que los cibercriminales podrían explotar. Habilite las actualizaciones automáticas para garantizar que siempre esté protegido con los parches de seguridad más recientes.
• Deshabilitar servicios innecesarios : deshabilite o limite el uso de RDP y otros servicios remotos si no son esenciales. Si RDP es necesario, protéjalo con contraseñas seguras, MFA y restringiendo el acceso a direcciones IP específicas.
• Educar y capacitar a los usuarios : eduque a los usuarios sobre los peligros de los correos electrónicos de phishing, los archivos adjuntos maliciosos y los enlaces engañosos. La capacitación periódica ayuda a los usuarios a reconocer y evitar posibles amenazas.
• Utilice soluciones de seguridad sólidas : implemente soluciones de seguridad integrales, que incluyan protección contra malware y firewall. Estos dispositivos pueden detectar y bloquear actividades maliciosas antes de que comprometan su sistema.

Conclusión: la vigilancia es clave

La aparición del ransomware Blue pone de relieve la amenaza persistente y en constante evolución de los ataques de ransomware. Si comprende cómo funciona este malware e implementa medidas de seguridad sólidas, los usuarios pueden reducir significativamente el riesgo de ser víctimas de estos esquemas dañinos. Manténgase alerta, mantenga sus sistemas actualizados y siempre haga copias de seguridad de sus datos para protegerse contra las amenazas de ransomware.

La nota de rescate entregada por Blue Ransomware dice:

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail givebackdata@mail.ru
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:getmydata@inbox.ru
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'