• Ciberseguridad

Ransomware Faust la última variante de Phobos | 5 ataques reales

Ransomware Faust

¿Qué es el Ransomware Faust y cómo protegerte?

El Ransomware Faust es una de las últimas variantes de la notoria familia de Ransomware Phobos. Este malware se destaca por su capacidad para cifrar archivos y exigir un rescate en bitcoins para desbloquearlos, causando estragos tanto en usuarios individuales como en empresas. En este artículo, exploraremos en detalle cómo funciona Faust, cómo prevenir una infección y qué hacer si eres víctima de este devastador ataque.

Características del Ransomware Faust

Faust opera encriptando los archivos del sistema infectado y añadiendo la extensión «.faust» a cada uno de ellos. Además, deja notas de rescate en forma de archivos «info.txt» e «info.hta» que explican a las víctimas cómo pueden recuperar sus archivos mediante el pago de un rescate en bitcoins​​.

La clasificación de Faust como una variante de Phobos se basa en las similitudes en el método de encriptación, las extensiones de archivos encriptados, las notas de rescate, las demandas de pago en bitcoins, los vectores de infección y el análisis del código base. Estas características indican que Faust sigue el mismo esquema general y utiliza herramientas similares a las de Phobos, lo que justifica su categorización como una variante. Hablemos de las características que lo familiarizan con el Ransomware Phobos.

1. Su método de encriptación ✔️

Ambos Ransomware, Faust y Phobos, utilizan algoritmos de encriptación avanzados para bloquear el acceso a los archivos de las víctimas. Utilizan claves de encriptación RSA y AES para asegurar que los archivos sean prácticamente irrecuperables sin la clave adecuada. Esta similitud en el método de encriptación es una de las principales razones por las que el Ransomware Faust se clasifica como una variante de Phobos.

2. La extensión de archivos encriptados ✔️

Una característica común es la adición de una extensión específica a los archivos encriptados. Mientras que Phobos usa varias extensiones (como «.id[ID].[email].phobos»), Faust añade la extensión «.faust» a cada archivo encriptado. Este cambio de extensión es un patrón que se ha observado en múltiples variantes de Phobos.

3. Sus notas de Rescate ✔️

Ambos tipos de ransomware dejan notas de rescate en el sistema infectado. Estas notas suelen estar en forma de archivos de texto (como «info.txt») y archivos HTML (como «info.hta»), que contienen instrucciones detalladas sobre cómo pagar el rescate y recuperar los archivos. El formato y el contenido de estas notas son muy similares en Faust y en Phobos, indicando una metodología común.

4. La demanda de pago en bitcoins ✔️

Tanto Faust como Phobos demandan el pago del rescate en bitcoins. Esta preferencia por las criptomonedas se debe a la naturaleza anónima y difícil de rastrear de las transacciones en bitcoin, lo que es una práctica común entre las variantes de Phobos y muchos otros ransomware.

5. Los vectores de infección ✔️

Los métodos de distribución también son similares. Phobos y sus variantes, incluida Faust, suelen propagarse a través de correos electrónicos de phishing, descargas maliciosas y explotaciones de vulnerabilidades en sistemas desactualizados. Este patrón de distribución indica que los creadores de Faust utilizan las mismas tácticas que los creadores de Phobos.

6. El código base y herramientas utilizadas ✔️

Análisis técnicos del código de Faust han mostrado similitudes significativas con el código de Phobos. Esto incluye patrones de programación, métodos de ofuscación y herramientas utilizadas para la creación del ransomware. Estas similitudes en el código fuente son una prueba contundente de que Faust es una variante de Phobos.

Proceso de infección y encriptación

  1. Infección Inicial: El Ransomware Faust se infiltra en el sistema a través de vectores comunes de infección, tales como correos electrónicos de phishing, descargas de software malicioso y exploits de vulnerabilidades en sistemas no actualizados.
  2. Encriptación de Archivos: Una vez dentro del sistema, el Ransomware comienza a encriptar archivos, alterando su extensión a «.faust». Este proceso de encriptación es robusto, utilizando algoritmos avanzados que dificultan la recuperación sin la clave de desencriptación.

Métodos de distribución

El Ransomware Faust se distribuye principalmente a través de:

  • Correos electrónicos: Faust se propaga frecuentemente a través de correos electrónicos de phishing que contienen archivos adjuntos infectados. Estos archivos adjuntos suelen ser documentos de Office con macros maliciosos que, al activarse, descargan e instalan el Ransomware en el sistema de la víctima​.
  • Sitios de torrents y descargas no oficiales: Los archivos descargados de sitios de torrent y otras fuentes no oficiales pueden estar contaminados con el Ransomware. Los usuarios que buscan software gratuito o pirateado corren un alto riesgo de descargar inadvertidamente el malware​.
  • Anuncios maliciosos (Malvertising): Faust también se distribuye a través de anuncios maliciosos en sitios web legítimos. Estos anuncios engañosos redirigen a los usuarios a sitios que descargan e instalan automáticamente el Ransomware en sus dispositivos.
  • Vulnerabilidades de software: Algunas variantes del Ransomware Phobos, incluida Faust, explotan vulnerabilidades en el software para infiltrarse en los sistemas. Esto puede incluir el aprovechamiento de debilidades en aplicaciones no actualizadas o sistemas operativos sin parches​.

Notas de rescate

Ransomware FAUST note

Después de la encriptación, Faust deja varias notas de rescate en el sistema infectado:

  • info.txt: Un archivo de texto que contiene instrucciones básicas sobre cómo proceder para recuperar los archivos. Este archivo generalmente incluye una dirección de correo electrónico o una URL de un sitio de pago.
  • info.hta: Un archivo HTML que, al abrirse, despliega una ventana con instrucciones más detalladas, incluyendo un mensaje intimidante y las exigencias de rescate.

Tácticas de encriptación

El Ransomware Faust utiliza técnicas avanzadas, como el almacenamiento de archivos maliciosos codificados en Base64 en servicios como Gitea. Estos archivos se inyectan en la memoria del sistema y comienzan el proceso de cifrado, dificultando la detección y eliminación del malware por parte de las herramientas de seguridad​​.

Exigencias de Rescate

Las notas de rescate generalmente exigen un pago en bitcoins, proporcionando una dirección específica de la cartera de criptomonedas a la que se debe enviar el pago. El monto del rescate suele variar, y las notas frecuentemente incluyen advertencias sobre un aumento del monto si no se realiza el pago en un tiempo determinado.

5 ataques reales en el último año

1. Compañía de Salud MedX – enero 2023

Salud MedX, una empresa de servicios de salud, sufrió un ataque de Ransomware Faust que encriptó los historiales médicos de sus pacientes. Los atacantes exigieron un rescate de 50 bitcoins para liberar los datos. La empresa, tras asesorarse con expertos en ciberseguridad, decidió no pagar el rescate y recurrió a copias de seguridad para restaurar los archivos, aunque el proceso de recuperación tomó varias semanas.

2. Universidad TechU – marzo 2023

TechU, una universidad tecnológica, fue atacada por el Ransomware Faust, resultando en la encriptación de investigaciones académicas y datos de estudiantes. Los atacantes demandaron 20 bitcoins. La universidad trabajó con especialistas en recuperación de datos y, aunque no pagó el rescate, logró recuperar una parte significativa de la información mediante técnicas de desencriptación avanzadas.

3. Empresa de Manufactura AutoParts Co. – mayo 2023

AutoParts Co., una empresa de manufactura de autopartes, experimentó una interrupción en su producción debido a un ataque del Ransomware Faust. Los sistemas de control de producción fueron encriptados, paralizando las operaciones. Los delincuentes exigieron 100 bitcoins. La empresa decidió pagar el rescate para evitar mayores pérdidas, pero los delincuentes solo proporcionaron una parte de las claves de desencriptación, complicando la recuperación total de los sistemas.

4. Agencia Gubernamental CityGov – julio 2023

CityGov, una agencia gubernamental municipal, fue víctima de un ataque de Ransomware Faust que encriptó archivos cruciales relacionados con servicios públicos y registros civiles. Los atacantes demandaron 30 bitcoins. La agencia no pagó el rescate y trabajó con expertos en ciberseguridad para restaurar los sistemas a partir de copias de seguridad y mediante análisis forense digital.

LegalFirm LLP, un bufete de abogados, sufrió un ataque del Ransomware Faust que comprometió documentos legales confidenciales y correos electrónicos. Los atacantes exigieron 40 bitcoins. El bufete, tras evaluar el impacto, decidió no pagar el rescate y contrató a una firma de recuperación de datos que logró restaurar la mayoría de los archivos encriptados mediante herramientas de desencriptación especializadas.

Prevención del Ransomware Faust

Mantén tu software actualizado

Es crucial mantener tu sistema operativo y todas las aplicaciones actualizadas con los últimos parches de seguridad. Las actualizaciones frecuentes ayudan a cerrar vulnerabilidades que los ciberdelincuentes podrían explotar​​.

Usa antivirus confiable

Un software antivirus reputado puede detectar y eliminar amenazas antes de que causen daño. Asegúrate de que tu antivirus esté siempre actualizado para protegerte contra las últimas variantes de malware​​.

Sé cauteloso con los correos electrónicos

No abras archivos adjuntos ni hagas clic en enlaces de correos electrónicos de remitentes desconocidos. Los correos electrónicos de phishing son una de las principales vías de entrada para el Ransomware​.

Evita el software pirata

El software pirata a menudo contiene malware. Descarga aplicaciones solo de fuentes oficiales y evita el uso de cracks o herramientas de activación ilegales​​.

Realiza copias de seguridad regularmente

Implementa una estrategia de respaldo 3-2-1: tres copias de tus datos, en dos tipos de medios diferentes, con una copia almacenada fuera del sitio. Esto asegura que puedas recuperar tus datos en caso de un ataque de Ransomware​​.

¿Qué hacer si eres víctima del Ransomware Faust?

Si tu sistema es infectado por el Ransomware Faust, sigue estos pasos:

  • No pagues el rescate: No hay garantía de que recuperarás tus archivos, y pagar solo fomenta más actividades criminales​​.
  • Desconecta el sistema: Aísla la computadora afectada para evitar que el Ransomware se propague a otros dispositivos en la red.
  • Contacta a profesionales: Busca ayuda de expertos en recuperación de datos y ciberseguridad para recuperar tus archivos y limpiar tu sistema​ Ransomware Help.
  • Informa a las autoridades: Reporta el ataque a organismos como el FBI para contribuir a la lucha contra el cibercrimen.

El Ransomware Faust representa una amenaza significativa en el panorama actual de ciberseguridad. La prevención es la mejor defensa contra estos ataques devastadores. Mantén tus sistemas actualizados, utiliza software de seguridad confiable, y realiza copias de seguridad periódicas para proteger tus datos. En caso de infección, actúa rápidamente y busca ayuda profesional para minimizar el daño.

Mantente informado y preparado para protegerte contra el Ransomware Faust y otras amenazas cibernéticas. ¡La seguridad comienza con la prevención!

Para obtener más información y recursos sobre cómo lidiar con el Ransomware Faust, visítanos. También, puedes actualizarte con la ultimas amenazas y estrategias de defensas en el mundo de la ciberseguridad siguiéndonos en LinkedIn.

Otros artículos