Todo lo que necesitas saber

Todo lo que necesitas saber

Los ciberdelincuentes siempre intentan ir un paso por delante de los expertos en seguridad informática y las fuerzas del orden, desarrollando nuevas tácticas, mejorando el malware existente y creando formas creativas de monetizar sus actividades.

En los últimos años, los grupos de piratas informáticos se han centrado principalmente en el ransomware, que es un tipo de malware que emplea cifrado para bloquear los datos de una víctima hasta que se pague un rescate. En 2021, surgió una nueva amenaza de ransomware: PayloadBin. Entonces, ¿qué es PayloadBin y cómo puede protegerse contra él?

¿Qué es PayloadBin Ransomware y cómo funciona?

Como la mayoría de ransomware, PayloadBin se implementa por correo electrónico o actualizaciones falsas del navegador.

Entonces, por ejemplo, si un empleado de una gran empresa descarga y abre un archivo adjunto de correo electrónico malicioso, el malware se propaga por toda la red y cifra todos los archivos disponibles. El proceso es similar a las actualizaciones maliciosas del navegador, que a veces pueden aparecer en sitios web legítimos.

Una vez ejecutado en la computadora de la víctima, el malware bloquea los archivos, los cifra y agrega la extensión .PAYLOADBIN a cada archivo.

Para bloquear archivos, PayloadBin utiliza una combinación de algoritmos de cifrado Advanced Encryption Standard (AES) y Rivest-Shamir-Adleman (RSA) y genera una clave única para cada archivo; este es el método de cifrado elegido por la mayoría de los ciberdelincuentes.

Una vez cifrados los archivos, el objetivo se queda con una nota de rescate. La nota de rescate generalmente contiene algún tipo de advertencia y una dirección de correo electrónico (los piratas informáticos a menudo usan servicios de correo electrónico cifrados de extremo a extremo) que la víctima debe usar para contactar a los atacantes y enviar el pago del rescate.

¿Quién está detrás del PayloadBin Ransomware?

Después de violar el Departamento de Policía Metropolitana en Washington, DC, a principios de 2021, el grupo de hackers Babuk dijo que iría más allá de los ataques de ransomware y se centraría en el robo de datos.

En mayo de 2021, Babuk lo renombró como «caja de carga útil», rediseñando su sitio web de filtración de datos. Esto llevó a muchos a concluir que PayloadBin era esencialmente un cambio de marca de Babuk Locker, una variante de ransomware que este grupo usaba para apuntar a universidades, hospitales y pequeñas empresas.

RELACIONADO: ¿Qué es Babuk Locker? La banda de ransomware que debes conocer

De acuerdo con biping computadora y varios expertos en ciberseguridad, un análisis de PayloadBin muestra que Evil Corp, no Babuk, está detrás del ransomware.

Evil Corp es uno de los grupos de hackers más exitosos del mundo, habiendo robado a cientos de millones de corporaciones, bancos e instituciones financieras en todo el mundo.

En 2019, el Departamento de Justicia de EE. UU. Presentó acusaciones contra el presunto líder de Evil Corp, Maksim Yakubets, mientras que la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro emitió sanciones contra el grupo.

Las sanciones también se aplican a cualquier entidad que pague un rescate o participe en el pago, lo que obligó a Evil Corp a cambiar la marca. Bleeping Computer, Fabian Wosar de Emsisoft y Michael Gillespie de ID Ransomware creen que PayloadBin es solo el último intento de Evil Corp de evadir las sanciones.

Cómo protegerse contra PayloadBin Ransomware

La gran mayoría de las bandas de ransomware, incluida Evil Corp, no se dirigen a individuos, sino a organizaciones grandes y medianas. Sin embargo, los atacantes a menudo se aprovechan de la falta de conocimiento de los empleados para implementar malware, lo que destaca la importancia de la capacitación en ciberseguridad.

Cuando se trata de ciberseguridad en general, la prevención es absolutamente esencial. Esto significa que nunca debe hacer clic en enlaces sospechosos, abrir archivos adjuntos de direcciones de correo electrónico desconocidas o descargar una actualización de software sin verificar primero que es legítima.

Para los empleadores y las empresas, invertir en una protección cibernética sólida es una necesidad, especialmente hoy, cuando millones de trabajadores han realizado lo que parece ser una transición permanente para trabajar desde casa, exponiendo a las empresas a riesgos adicionales.

Incluso las mejores medidas preventivas pueden fallar, por lo que las organizaciones deben esforzarse por actualizar el software con regularidad, utilizar tecnologías confiables y realizar copias de seguridad frecuentes de sus datos y sistemas si quieren mantenerse protegidos de PayloadBin y otro malware similar.