Comencemos por advertir que Crypto24 es un grupo de hackers, que desarrolló un ransomware del mismo nombre. Este grupo ha cobrado notoriedad por la sofisticación de sus ataques lo que son estratégicamente planificados.
Según lo que podemos advertir, el grupo aparece a finales de 2023 en foros de hacking y comienza a operar a comienzos de 2024.
Modelo delictivo: este grupo tiene la particularidad que actúa bajo un modelo de doble extorsión, por un lado, roba los datos a los que pudo acceder y son de su interés y por otro lado cifra dichos datos (archivos) lo que los hace inaccesible para la institución u organización víctima. El grupo de hackers suele exigir un rescate bajo amenaza de divulgación pública de los datos obtenidos.
Cabe señalar que los especialistas y autoridades de ciberseguridad que se han vistos involucrados en casos de Crypto24, recomiendan no pagar el rescate ya que el grupo no cumple con la información, y por otro lado la amenaza de hacer pública la información es en realidad una falsa fachada de tranquilidad para las víctimas ya que la información fue realmente extraída (copiada) y se pondrá a la venta de todas maneras.
Entre las víctimas de este grupo podemos advertir empresas de sectores como tecnología, manufactura, finanzas y entretenimiento, distribuidas principalmente en Asia, Europa, Estados Unidos y Latinoamérica.
Nota técnica: (inicio) una de las firmas que ha caracterizado a este grupo de hackers, es su capacidad para evadir defensas de ciberseguridad utilizando herramientas legítimas del propio sistema operativo, como PsExec, AnyDesk, net.exe o runas.exe, combinadas con software malicioso (malware) personalizado y su ransomware propio. Por otro lado, ha desarrollado variantes de otras herramientas de hacking de otros grupos, tal como RealBlindingEDR, diseñada para inutilizar los antivirus o los EDR (Endpoint Detection and Response) mediante la desactivación de controladores de kernel de varios proveedores de seguridad. (fin)
Las tácticas empleadas por el grupo de hackers Crypto24 revelan un alto nivel de sofisticación y persistencia. Entre sus métodos más frecuentes figura el escalado de privilegios dentro de los sistemas comprometidos, lo que les otorga control prácticamente total sobre la infraestructura atacada. Asimismo, destacan por su capacidad de desplazamiento lateral, lo que les permite, a partir de una sola intrusión, expandirse hacia otras redes de empresas, organismos públicos o instituciones vinculadas mediante la interoperabilidad de redes públicas o privadas.
Su habilidad para mantener la persistencia resulta especialmente preocupante. En numerosos casos, las técnicas utilizadas pasan inadvertidas, y las contramedidas aplicadas por los equipos de ciberseguridad no logran erradicar la amenaza (siguen dentro). Para ello, recurren a la suplantación de identidades con permisos administrativos (o los crean) y al uso de software legítimo de las propias víctimas como puerta trasera, dificultando así la detección.
De manera aún más inquietante, se han identificado campañas en las que Crypto24 emplea cuentas de Google Drive de empleados o funcionarios, como canal de acceso encubierto, asegurando una conexión constante con los sistemas comprometidos. La detección temprana de sus operaciones es sumamente compleja y, hasta el momento, no existen reportes concluyentes que confirmen que el grupo se haya descubierto antes de que él mismo diera a conocer su accionar.
El ransomware Crypto24 es un malware que está diseñado para cifrar los archivos que afecta. Su modelo de encriptado puede combinar varias técnicas, el resultado es que cada archivo cambia de nombre, por ejemplo: un archivo inicialmente llamado «nota1.doc» para a llamarse «nota1.doc.crypto24«. Una vez concluido el proceso de encriptado, el ransomware crea una nota de rescate titulada, por lo general, «Decryption.txt«.
El mensaje de petición de rescate informa a la víctima de que sus archivos han sido encriptados y robados. Para restaurar los datos afectados es necesario comprar la clave de desencriptado.
Se advierte a la víctima de que renombrar o modificar de otro modo los archivos encriptados puede hacerlos indescifrables. Si no se satisfacen las peticiones de rescate, los atacantes amenazan con filtrar la información robada.
Si fuera posible eliminar el ransomware Crypto24 de los sistemas, se evitará que continúen encriptando más archivos, pero no restaurará los archivos ya afectados. La solución más viable es recuperarlos a partir de una copia de seguridad si existiera, y esto siempre deja un margen de datos que no podrán recuperarse ya que, entre los datos en el sistema y la copia de seguridad, hay un período (minutos, horas, días) donde, si algo se creó o cambió, se habrá perdido.
Tengamos en cuenta que muchos virus, incluyendo ransomware, se propagan mediante archivos infectados o manipulados, a los que un usuario incauto accede o abre, en otras ocasiones el acceso a un sitio web puede significar el contagio si el usuario confirma una descarga o la ejecución de un archivo, un plugin, un script, etc.
En el caso de Cryto24, el contagio suele darse de la mano del propio grupo hackers, ya que una vez que acceden a los sistemas, son ellos los que plantan el ransomware. Obviamente también pueden utilizar ingeniería social para que un usuario caiga en alguna estratagema y termine ejecutando al software malicioso.
No existe, por el momento, un desencriptador para Crypto24 confiable o desarrollado por firmas especializadas en ciberseguridad, si bien es posible encontrar herramientas prometedoras, como la disponible en Lockbitdecryptor.com, la llamada Universal Decryptor o la Stop DJVU Decryptor, esta última, según las investigaciones realizadas, ha dado buenos resultados.
Es recomendable visitar y estar atentos a novedades como las del proyecto más grande contra los ransomware el “No More Ransom” (www.nomoreransom.org) y los repositorios de desencriptadores de proveedores de antivirus y otras herramientas contra software malicioso. Mientras tanto, el recurrir al aislamiento de las computadoras o servidores afectados y la recuperación mediante respaldos, son las medidas más razonables. Claro está que, en manos de los técnicos apropiados, experimentar con algunos de los desencriptadores que prometen resultados para Crypto24, nunca está de más.
Es ineludible mejorar las ciberdefensas y la necesaria capacitación de todos los usuarios sobre los riesgos. No debemos olvidar que la ciberseguridad es solamente una parte de la seguridad de la información, por lo que cada empresa u organismo debería disponer de un responsable al respecto y las adecuadas políticas y procedimiento.
Por último, siempre reportar los incidentes detectados a las autoridades, instituciones u organizaciones de monitoreo, prevención y defensa contra los ciberdelitos. Ej: CERTuy de AGESIC (cert@cert.uy, tel: 150 2378), Unidad de Cibercrimen de Ministerio del Interior (dipn-cibercrimen@minterior.gub.uy, tel: 2030 4625), URCDP si se identifique o se sospeche de la afectación de datos personales (infourcdp@datospersonales.gub.uy, tel: 29010065 opción 3), CSIRT de ANTEL (antel.com.uy/web/csirt).
Mauro D. Ríos
