El ransomware es sin duda una de las mayores pesadillas de empresas y usuarios. y la solución no es sencilla. Pagar un rescate no sólo no garantiza recuperar la información, sino que alimenta una actividad ilícita que crece a «pasos agigantados», señala un análisis de Check Point. Esta firma de ciberseguridad alerta de las  falsas “consultoras IT” que supuestamente ayudan a las víctimas de ransomware. Y saca a la luz el caso de Dr. Shifro, una empresa rusa que «afirma desbloquear legítimamente archivos cifrados, pero que en realidad lo único que hace es de enlace entre el ciberdelincuente y la víctima, es decir, cobra a la víctima y paga al creador del ransomware, con un margen de beneficio enorme».

En 2017, el ransomware se convirtió en el centro de atención con WannaCry, NotPetya y Bad Rabbit, y este año también ha seguido siendo una gran amenaza, con casos como la paralización de los servicios fundamentales de la ciudad de Atlanta. El sector de la salud, uno de los más afectados por los ataques de ransomware, ha visto peticiones de rescate que ascienden a 2,8 millones de dólares, aunque el precio medio está en unos 10.000 dólares.

Según la Evaluación de la Amenaza de la Delincuencia Organizada en Internet de 2018 de Europol, la industria del ransomware mueve 5.000 millones de dólares. «Ha permitido que surjan industrias subsidiarias a su alrededor como las ofertas de rescate como servicio (Rescue as a Service), una herramienta para que incluso los más inexpertos puedan entrar en la rueda del ransomware. Además, los programas de afiliación han crecido tanto que los creadores del ransomware les piden a sus afiliados una comisión por expandirlo», señala el informe de Check Point.

¿Cómo responder a un rescate?

Cuando se bloquea el acceso a los archivos y el rescate es un precio muy alto, no es de extrañar que las organizaciones hagan casi cualquier cosa para restaurar su acceso a ellos. Para Check Point, ay tres opciones posibles:

1.-Restaurar todos los archivos bloqueados a través de la copia de seguridad.

2.-Pagar el rescate al actor de la amenaza responsable de cifrar esos archivos

y 3.-Contratar a un consultor de TI que pueda desbloquear los archivos sin pagar el rescate.

El equipo de investigación de Check Point encontró Dr. Shifro, una ‘consultoría de TI’ online que ofrecía un solo servicio, «algo sospechoso de inicio»: ayudar a las víctimas del ransomware a desbloquear sus archivos supuestamente cautivos en el programa de rescate Dharma/Crisis (para el cual no se dispone de clave de descifrado), entre otros.

La investigación desveló pronto que Dr. Shifro estaba contactando con el autor del ransomware para desbloquear los archivos de la víctima a cambio del pago del rescate (1.300 dólares) más una comisión de otros 1.000 dólares, como margen del negocio de la falsa consultora.

«Si bien existen consultorías de TI legítimas que pueden recuperar los sistemas y archivos de un ataque de ransomware, por lo general no hacen promesas que no puedan cumplir. De hecho, sólo dan garantías en servicios que saben que pueden ofrecer, como las claves de descifrado que ya están disponibles públicamente online, y se limitarán a realizar estos servicios de descifrado», señala el análisis de Check Point.

«El modelo de negocio creado es muy atractivo y podría ser replicado con facilidad por otros estafadores por lo que hay que estar alerta», insisten en la firma de cibseguridad, que recomienda a las empresas que utilicen soluciones de prevención anti-ransomware que no solo trabajen con malware ya detectado, sino que sean capaces de emular y extraer archivos sospechosos en un sandbox y recuperar automáticamente los archivos cifrados.