Pese a que fue lanzado a comienzos de 2016, un proyecto de ransomware PHP de código abierto sigue generando amenazas activas. Este proyecto se llamó “Ransomware”, por lo que no se rompieron mucho la cabeza al nombrarlo. Es el trabajo de un hacker indonesio que se hace llamar ShorTcut (o Shor7cut), miembro de un equipo de hacking formado por dos y que se denomina Bug7sec e Indonesia Defacer Tersakiti.
Ransomware PHP
Durante el año pasado, el código fuente de este proyecto se utilizó en tres familias de ransomware diferentes dirigidas a servidores web.
El primero fue un ransomware detectado como JapanLocker. Fue a mediados de octubre de 2016 por los investigadores de Fortinet. El nombre provenía de una de las direcciones de correo electrónico utilizadas en la nota de rescate.
La segunda familia de ransomware se llama Lalabitch y fue descubierta a principios de julio de este año, de 2017, por el investigador de seguridad Michael Gillespie. El nombre procedía de la extensión añadida al final de los archivos cifrados.
Por último, la tercera y más reciente oleada de ransomware basado en PHP derivada del proyecto de código abierto también se detectó en julio. Esta versión añadió la extensión .ev al final de los archivos cifrados. Wordfence detectó esta variante y ha estado usando el nombre EV Ransomware para detectar y rastrear su actividad.
Sin vinculación
No hay evidencia para vincular las tres oleadas de ransomware PHP con el mismo distribuidor. Eso es así ya que se trata de código abierto en GitHub. No sabemos por tanto si ShorTcut está detrás de la distribución de cualquier familia, como cualquier otro usuario lo podría haber clonado utilizado.
Lo que está claro es que los tres (JapanLocker, Lalabitch y EV) no cuentan con un mecanismo de descifrado adecuado.
El ransomware puede cifrar archivos. Sin embargo un error en el proceso de descifrado impide que las víctimas recuperen archivos, aunque pagaran el rescate y recibieran un código de descifrado.
«Necesitaríamos un desarrollador de PHP con experiencia para ayudarnos a corregir el código dañado para usar la clave y revertir el cifrado», dijo Mark Maunder, CEO de Wordfence. Puedes hacer cursos online de hacking ético.
Los atacantes también necesitan encontrar un fallo de seguridad para explotar y para instalar el ransomware, lo que suena más sencillo de lo que realmente es. Un atacante necesita cargar su archivo PHP de ransomware en el servidor y ejecutarlo para cifrar los archivos. Se proporciona una interfaz visual.
Por otra parte, la mayoría de las páginas webs cuentan con un sistema de copia de seguridad automática en su sitio o servidor. Gracias a esto el administrador puede restaurar fácilmente el contenido cuando un atacante ha bloqueado los archivos.
WordPress
Es por ello que el ransomware EV resulta bastante ineficiente al conseguir pagos de rescate por parte de las víctimas. Esto mismo ocurre en otros similares dirigidos a servidores.
Según indican desde Wordfence, este ransomware únicamente apunta a servidores de WordPress. La razón es que les resultaba más fácil al atacante encontrar vulnerabilidades entre quienes utilizan WordPress. Esto es así debido a la gran cuota de mercado.