Clicky

Publican un descifrador gratuito para la variante de Linux del ransomware Cl0p

descifrador del ransomware Cl0p

La variante Linux de Cl0p es relativamente nueva

La lógica de cifrado defectuosa utilizada en la variante de Linux (ELF) del ransomware Cl0p (Clop) ha permitido a los investigadores de SentinelOne crear y lanzar un descifrador gratuito.

"La variante de Windows [Cl0p] cifra la clave RC4 generada responsable del cifrado de archivos utilizando el algoritmo asimétrico RSA y una clave pública. En la variante de Linux, la clave RC4 generada se cifra con una 'clave maestra' RC4 [codificada]", explicaron los investigadores.

Las diferencias entre las variantes de Windows y Linux

La variante Linux de Cl0p es relativamente nueva y los investigadores la detectaron por primera vez a fines de diciembre de 2022.

"Parece estar en sus fases iniciales de desarrollo ya que algunas funcionalidades presentes en las versiones de Windows no existen actualmente en esta nueva versión de Linux", señalaron.

"Una razón para esto podría ser que el actor de amenazas no ha necesitado dedicar tiempo y recursos para mejorar la ofuscación o la evasión debido al hecho de que actualmente no es detectado por los 64 motores de seguridad en VirusTotal".

Cl0p Ransomware

Las diferencias entre la variante de Windows y Linux son muchas. Por ejemplo, el primero evita cifrar carpetas, archivos y archivos específicos con extensiones específicas, y el segundo no. El primero se puede ejecutar con diferentes parámetros para guiar qué unidades se destinarán al cifrado, mientras que el segundo se centra en cifrar solo las carpetas codificadas especificadas. El original lleva una nota de rescate cifrada que se cifra, pero el primero almacena la nota como texto sin formato.

Pero la diferencia más importante, desde la perspectiva de las víctimas, es la falla que hizo posible la creación del descifrador.

"Durante los últimos doce meses, más o menos, hemos seguido observando el aumento de la selección de múltiples plataformas por parte de operadores o variantes de ransomware individuales", señalaron los investigadores.

"Si bien la variación de Cl0p de Linux está, en este momento, en su infancia, su desarrollo y el uso casi omnipresente de Linux en servidores y cargas de trabajo en la nube sugiere que los defensores deberían esperar ver en el futuro más campañas de ransomware dirigidas a Linux".

Es de esperar que los desarrolladores del ransomware Cl0p arreglen la vulnerabilidad pronto. Mientras tanto, las víctimas pueden usar la herramienta de descifrado y buscar una mejor protección de sus sistemas contra los ataques de ransomware en general.

Jesus_Caceres