Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware de Theft

Ransomware de Theft

Por Mezo en Ransomware
Traducir a:

El entorno de amenazas moderno es implacable. Los ciberdelincuentes perfeccionan constantemente sus herramientas para explotar a usuarios desprevenidos. Una de las amenazas más dañinas es el ransomware, un software malicioso que cifra datos y extorsiona a las víctimas. Una de estas variantes emergentes, conocida como ransomware de robo, ya ha causado estragos en sistemas desprevenidos.

¿Qué hace que el ransomware sea peligroso?

El ransomware Theft es una nueva cepa vinculada a la conocida familia de ransomware Dharma, un grupo conocido por atacar tanto a individuos como a organizaciones. Al infiltrarse en un dispositivo, el malware cifra los archivos y les cambia el nombre añadiendo:

  • Un identificador de víctima único
  • La dirección de correo electrónico de los atacantes
  • La extensión '.theft'

Por ejemplo, '1.png' se convierte en '1.png.id-9ECFA84E.[datatheft@tuta.io].theft.'

Las víctimas reciben entonces notas de rescate en forma de archivos de texto ('info.txt') y una ventana emergente. Si bien la nota de texto es concisa y solo proporciona datos de contacto, la ventana emergente ofrece más detalles, incluyendo la garantía de que es posible recuperar los datos si se paga el rescate. Los atacantes incluso ofrecen una "prueba de descifrado" al permitir la restauración gratuita de tres archivos pequeños y no críticos.

Para aumentar aún más la presión, los delincuentes afirman haber robado datos comerciales confidenciales y amenazan con filtrarlos si se niegan a pagar.

Características técnicas de la amenaza

Al igual que otras variantes basadas en Dharma, el ransomware Theft no bloquea sistemas completos, sino que cifra archivos locales y compartidos en red. El malware realiza las siguientes acciones:

  • Termina procesos vinculados a archivos en uso (bases de datos, lectores, etc.)
  • Se copia a sí mismo en la ruta %LOCALAPPDATA% y registra la persistencia mediante claves de ejecución
  • Se configura para iniciarse automáticamente con los reinicios del sistema
  • Elimina las instantáneas de volumen para evitar una recuperación fácil

El malware también recopila datos de geolocalización para determinar si se debe proceder con el cifrado, posiblemente excluyendo ciertas regiones.

Cómo se propaga la infección

El ransomware Theft utiliza diversas tácticas de infiltración, siendo la más común el uso de servicios RDP (Protocolo de Escritorio Remoto) con baja seguridad. Los ataques de fuerza bruta y de diccionario contra cuentas con baja protección son una vía de entrada frecuente. Una vez dentro, el malware puede incluso desactivar los firewalls para facilitar su funcionamiento.

Otros canales de distribución conocidos incluyen:

Phishing e ingeniería social : archivos adjuntos o enlaces maliciosos en correos electrónicos, mensajes directos y publicaciones.

Troyanos y puertas traseras : se utilizan para instalar ransomware de forma silenciosa.

Malvertising y descargas automáticas : se activan simplemente al visitar un sitio web comprometido.

Fuentes de software sospechosas : herramientas pirateadas, paquetes de software gratuito y actualizaciones falsas.

Medios extraíbles y redes locales : permiten que el malware se propague internamente una vez que llega a un sistema.

Por qué pagar el rescate es una apuesta arriesgada

Descifrar archivos cifrados por Theft sin la clave de los atacantes es prácticamente imposible. Si bien algunas variantes de ransomware presentan fallas, las amenazas basadas en Dharma suelen ser sólidas. Cabe destacar que pagar el rescate no garantiza la recuperación; muchas víctimas se quedan con las manos vacías incluso después de transferir los fondos. Peor aún, el pago solo financia otras operaciones delictivas.

Fortaleciendo sus defensas contra el ransomware

La mejor manera de combatir el ransomware de robo es la prevención. Dado que la eliminación del malware no restaurará automáticamente los archivos cifrados, los usuarios deben centrarse en la resiliencia y las defensas proactivas. Las prácticas clave que todo usuario debería adoptar son:

  • Copias de seguridad periódicas: mantenga copias de archivos importantes en múltiples ubicaciones seguras, como unidades fuera de línea y servicios en la nube no asignados al sistema infectado.
  • Actualizar software y sistemas: aplicar parches para cerrar vulnerabilidades que explota el ransomware.
  • Utilice autenticación fuerte: proteja los servicios RDP con contraseñas únicas y complejas y habilite la autenticación multifactor.
  • Tenga cuidado con los correos electrónicos y los enlaces: no abra archivos adjuntos inesperados ni haga clic en enlaces desconocidos, incluso si parecen legítimos.
  • Restringir derechos administrativos: limite los privilegios para reducir el impacto de la posible ejecución de malware.
  • Instale herramientas de seguridad confiables: emplee soluciones antimalware con funciones de protección contra ransomware.
  • Deshabilitar macros y scripts: muchos ataques de ransomware se desencadenan a través de documentos o scripts de Office.
  • Redes de segmentos: evita que el malware se propague lateralmente en entornos empresariales.

Reflexiones finales

El ransomware de robo destaca la continua evolución de la familia Dharma y su papel persistente en las campañas globales de ransomware. Su combinación de cifrado, robo de datos y extorsión lo hace particularmente dañino. Dado que la recuperación de archivos suele ser imposible sin copias de seguridad limpias, la única defensa real es la prevención por capas, una ciberseguridad sólida y estrategias de recuperación fiables.

System Messages

The following system messages may be associated with Ransomware de Theft:

All your files has been encrypted!

Don't worry, you can return all your files!
If you want to restore them, contact us: datatheft@tuta.io YOUR ID -
If you have not answered by mail within 12 hours, contact mail:datatheft@cyberfear.com

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Some of your data has been downloaded

In case if you refuse to cooperate all downloaded data will be transfered to third parties. Financial implications: The threat of data breach could result in significant fines and legal action. Reputational risks: Data breach may lead to a loss of trust from customers and partners, as well as negative consequences for your future work. We strongly recommend you to contact us directly, to avoid the extra fee from middlemans and lower the risks of scam.

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Ransom note in the text files:
All your data has been encrypted.

For decryption contact:

datatheft@tuta.io or datatheft@cyberfear.com

Tendencias

Mas Visto

Cargando...