CyberArk ha dado un paso significativo en la lucha contra el ransomware al lanzar una versión en línea de ‘White Phoenix’, un descifrador de ransomware de código abierto diseñado para combatir operaciones que utilizan encriptación intermitente.
A pesar de que la herramienta está disponible de forma gratuita en GitHub como un proyecto en Python, CyberArk reconoció la necesidad de una versión en línea para atender a las víctimas de ransomware menos familiarizadas con la tecnología.
Sencillo Proceso de Recuperación de Archivos
Utilizar el White Phoenix en línea es sencillo. Los usuarios deben cargar sus archivos, hacer clic en el botón “recuperar” y permitir que la herramienta restaure los datos encriptados.
Actualmente, la herramienta es compatible con varios tipos de archivos, como PDF, documentos de Word y Excel, archivos ZIP y PowerPoint. Sin embargo, es importante tener en cuenta que la versión en línea tiene un límite de tamaño de archivo de 10 MB. Para archivos más grandes o máquinas virtuales, la versión de GitHub sigue siendo la opción preferida.
Comprendiendo las Oportunidades de Encriptación Intermitente
La encriptación intermitente es una táctica empleada por varias operaciones de ransomware, como Blackcat/ALPHV, Play, Qilin/Agenda, BianLian y DarkBit.
White Phoenix se dirige específicamente a las víctimas afectadas por estas cepas. Este método acelera la encriptación de dispositivos al encriptar parcialmente los archivos de la víctima, permitiendo que los actores de amenazas aceleren sus ataques mientras dejan a las víctimas con opciones limitadas para la restauración de datos sin pago.
La debilidad de la encriptación intermitente radica en dejar importantes fragmentos de datos no encriptados en un archivo. White Phoenix aprovecha esta debilidad al intentar recuperar texto en documentos mediante la concatenación de partes no encriptadas y la reversión de la codificación hexadecimal y el enmascaramiento de caracteres (CMAP).
Limitaciones y Recomendaciones
Es fundamental reconocer que White Phoenix, al ser una herramienta automatizada para la restauración de datos, puede no funcionar de manera perfecta para todos los tipos de archivos y variantes de ransomware.
CyberArk aconseja que ciertas cadenas dentro de los archivos deben ser legibles para que el descifrador funcione correctamente. Por ejemplo, los archivos ZIP deben contener la cadena “PK\x03\x04”, y los PDF deben incluir “0 obj” y “endobj”.
Si bien White Phoenix puede no restaurar sistemas completos, resulta valioso para recuperar archivos individuales o extraer datos. Dada la ausencia de descifradores de trabajo para las familias de ransomware mencionadas, el uso de White Phoenix es un intento valioso.
Para los usuarios que manejan información sensible, se recomienda descargar White Phoenix desde GitHub y utilizarlo localmente para evitar cargar documentos sensibles en los servidores de CyberArk.
Relacionado
5 Pasos para Mejorar la Seguridad en Microsoft Teams
En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
Ataque Cibernético al Hospital Infantil Lurie: Conoce el Impacto de las Operaciones
El Hospital Infantil Lurie, una destacada instalación de atención pediátrica con sede en Chicago, enfrentó un grave revés al convertirse en víctima de un ciberataque. Este incidente imprevisto obligó al hospital a desconectar sus sistemas de TI, perturbando las operaciones habituales y causando retrasos en la atención médica para algunos pacientes. El Incidente de Ciberseguridad El hospital, conocido por su papel significativo en la atención pediátrica, ¡SEGUIR LEYENDO!
Ataque KeyTrap tiene Acceso a Internet Interrumpido con un Paquete DNS
Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!
Ataque de ransomware corta la Comunicación con tierra de 1.000 barcos
Una empresa noruega de gestión de riesgos marítimos está aprendiendo una lección en esa misma área, después de que un ataque de ransomware forzase la desconexión de su software ShipManager. El problema de desconexión dejó a más de 1000 barcos sin conexión con los servidores en tierra. El ataque ocurrió el 7 de Enero e involucró a un ataque ransomware, pero los barcos afectados no corren ¡SEGUIR LEYENDO!
¿Cómo reducir el riesgo de ransomware?
Mantener los datos seguros de los ataques de ransomware requiere una atención dedicada a los riesgos en constante evolución. La seguridad Zero Trust es uno de los muchos peldaños en la escalera de los equipos de TI hacia el paraíso de la seguridad de los activos de datos. Pero hay otros pasos que se pueden dar, entre ellos hacer que la recuperación de datos este asegurada ¡SEGUIR LEYENDO!
Controladores de Windows firmados por Microsoft fueron usados en Ataques de Ransomware
Microsoft ha revocado varias cuentas de desarrolladores de hardware de Microsoft después de que los controladores firmados a través de sus perfiles se usaran en ataques cibernéticos, incluidos incidentes de ransomware. https://ciberninjas.com/ransomware-trigona/ La noticia llega en una divulgación coordinada entre Microsoft , Mandiant , Sophos y SentinelOne. Los investigadores explican que los piratas informáticos estaban utilizando controladores de hardware maliciosos en modo kernel cuya confianza se ¡SEGUIR LEYENDO!