+57 (301) 341 2000 soporte@ransomwarehelp.com

Caso de negocio

Evaluación inicial

Una gran empresa de construcción en Latinoamérica sufrió un ataque de ransomware. Toda su operación fue detenida. La Compañía presentaba afectaciones severas en el departamento de contabilidad y finanzas, el sistema de programación de diseño y construcción, RRHH y sistemas ERP. Nuestros ingenieros y técnicos accedieron a los servidores previamente autorizados por el cliente con el fin de investigar y verificar en detalle la estructura, tipo, daño, encriptación y familia del Ransomware.

Como parte de nuestro servicio de diagnóstico y con el fin de avanzar en el análisis forense, pudimos examinar el resultado de la encriptación para ofrecer una solución de recuperación garantizada al cliente.

Resultados del proceso de diagnóstico

Con los datos analizados a través de nuestras herramientas de análisis forense, nuestros ingenieros pudieron determinar:

Tipo de intrusión: RDP – Protocolo de escritorio remoto (lo más probable es que se origine en Rusia).

Características del daño: el malware instalado presentaba algún tipo de conflicto con el antivirus, sus sistemas de seguridad o incluso, la misma naturaleza de la variante LOCKBIT 2.0, limitando los atributos y características de encriptación que se estaban implementando durante el ataque. Por lo tanto, el cliente se enfrentó a más de 8 cifrados continuos, códigos de cifrado combinados RSA de 2048 bits y AES de 512 bits, pero también daños en la estructura de los encabezados de los archivos.

Tipo de ransomware: LOCKBIT 2.0

Nivel de daño: alto

El nivel de daño es diferente de las características del daño. El nivel de daño se refiere a la extensión del daño y los procesos necesarios para recuperar los datos. En algunos casos, se necesitan procesos de recuperación y/o reparación, como fue el caso de este cliente. Después de ejecutar diferentes procesos, nuestro equipo pudo confirmar al cliente que era posible recuperar los datos de esta variante.

Detalles del proceso de descifrado

En este caso, nuestros ingenieros ejecutaron un proceso de ingeniería inversa que consistió en ejecutar los códigos de encriptación extraídos en la fase de diagnóstico forense y de recuperación de datos, todo al mismo tiempo y en diferentes vectores o ángulos de ataque utilizando 16 servidores forenses de la máxima configuración ubicados en diferentes regiones (Verona-Italia, Zagreb-Croacia, Panamá, Alicante y Castellón de la Plana en España, Santiago de Chile, México) entre otras. Con esto buscábamos inyectar aleatoriamente los códigos de encriptación por fuerza bruta para encontrar el orden exacto de encriptación e invertir este proceso.
Lo hicimos con éxito para este cliente y encontramos los siguientes cifrados:

AES (Estándar de cifrado avanzado) de 128, 256 y 512 bits RSA (Rivest, Adi Shamir y Leonard Adleman) de 1024 y 2048 bits DSA (Algoritmo de firma digital) de 2048 bits ECC (Criptografía de curva elíptica) de 256 bitsECDH (Curva elíptica Diffie – Hellman)CBC (Cipher-Block Chaining)XOR (cifrado basado en el operador binario XOR)RC4 (Rivest Cipher 4)SHA-2 (Secure Hash Algorithm – (NSA)) 224, 256, 384 y 512 bits DES (Data EncryptionSHA- 2 (Algoritmo hash seguro – (NSA)) 224, 256, 384 y 512 bits DES (Estándar de cifrado de datos) TEA (Algoritmo de cifrado pequeño) 64 bits y 128 bits

Vector: Número de archivos

10A8F402-1096: 23.860

78C77227-1096: 617

1CF55239-1096: 195

E6E88485-1096 120

D53E95FB-1096: 15

Total:  24.807

Para el proceso de recuperación, luego realizamos tareas como análisis forense digital, ingeniería inversa, reconstrucción de datos forenses y procesos de Criptografía.

Resultados de recuperación

Nuestros ingenieros pudieron recuperar el 100% de los datos y mantener su integridad y confidencialidad. El tiempo estimado de recuperación para este proceso fue de 4 días hábiles, lo que permitió al cliente volver al negocio de manera rápida y rentable. Nuestra solución evitó que el cliente tuviera que pagar el rescate y expusiera a la Compañía a riesgos reputacionales y posibles extorsiones adicionales.

Adicionalmente, entregamos al cliente un informe detallado con recomendaciones para prevenir futuros ataques o intrusiones de cualquier tipo. Estas recomendaciones se ofrecen a nuestros clientes sin costo alguno.

Conclusiones

Las grandes empresas y los clientes corporativos se enfrentan a una decisión crítica cuando se enfrentan a un ataque de ransomware. Si deciden negociar con los ciberdelincuentes, estas empresas se encontrarán con:

Cumplimiento y procedimientos legales con el FBI y las autoridades

Mayor exposición y costo como resultado de un segundo ataque o extorsión

Transferencia de fondos a actores ilegales

Riesgo de daño a la reputación y exfiltración de datos en la dark web.

Por otro lado, nuestra Empresa ofrece:

Términos y condiciones 100% legales

100% garantía de recuperación de datos

Empresa legal con operaciones en Italia, España, USA, México, entre otros.

Accede a más de 25 ingenieros forenses y expertos capaces de ofrecer un asesoramiento personalizado.

Ahorro de hasta un 60% en los costes y tiempo de recuperación.

En las circunstancias económicas y políticas actuales, considere siempre un asesoramiento legal experto. Nuestra empresa ha ayudado a más de 550 empresas a recuperar sus datos con una tasa de éxito del 100 %. Trabaja con los mejores.