Ransomware del Kremlin

El ransomware és una de les formes més destructives de programari maliciós: s'apodera silenciosament dels fitxers, nega l'accés legítim i obliga les víctimes a perdre. Mantenir els dispositius i les xarxes protegits és essencial no només per preservar les dades personals i empresarials, sinó també per evitar interrupcions, pèrdues financeres i un compromís més ampli de la xarxa.

L’amenaça del KREMLIN d’un cop d’ull

KREMLIN és una família de ransomware descoberta durant la inspecció d'una mostra de programari maliciós perillós. El seu comportament és directe i implacable: xifra els fitxers de les víctimes i hi afegeix l'extensió '.KREMLIN' (per exemple, '1.png' → '1.png.KREMLIN', '2.pdf' → '2.pdf.KREMLIN') i envia una nota de rescat README.txt que indica a les víctimes que contactin amb els atacants a través de Telegram a @KremlinRestore. La nota és el punt d'entrada dels atacants per negociar el pagament i proporcionar detalls de criptomoneda. La recuperació de fitxers sense les eines de desxifratge dels atacants poques vegades és factible, per la qual cosa una bona prevenció i unes còpies de seguretat resistents són fonamentals.

Com funciona el KREMLIN?

Després d'una execució correcta, KREMLIN enumera i xifra els fitxers de dades de l'usuari, canviant-los el nom amb el sufix '.KREMLIN'. Deixa un fitxer de text amb instruccions de rescat i informació de contacte que envia les víctimes als atacants a Telegram. Els actors solen donar instruccions de pagament (moneder de criptomonedes, import). Si el ransomware roman resident al sistema, pot continuar xifrant fitxers addicionals o intentar estendre's a altres hosts de la mateixa xarxa.

Vectors comuns de lliurament i propagació

Els actors amenaçadors utilitzen una àmplia gamma de tècniques d'enginyeria social i distribució per lliurar ransomware com KREMLIN. Els vectors típics inclouen aplicacions pirates, eines de cracking i generadors de claus, fitxers adjunts i enllaços de correu electrònic maliciosos o falsificats (documents d'Office, PDF, arxius maliciosos), estafes de suport tècnic, explotació de vulnerabilitats de programari sense pegats, dispositius USB infectats, llocs de descàrrega compromesos o no oficials, xarxes P2P, anuncis maliciosos i descàrregues de tercers. Els atacants sovint agrupen o disfressen executables dins de documents o arxius perquè els usuaris siguin enganyats perquè els executin.

Per què es desaconsella pagar i què haurien d’esperar les víctimes

Pagar un rescat no garanteix la recuperació de dades: és possible que els atacants no lliurin un desxifrador que funcioni, que exigeixin pagaments addicionals o que simplement desapareguin. Pagar també alimenta l'activitat criminal i augmenta la probabilitat que el virus sigui atacat en el futur. Les organitzacions amb còpies de seguretat fiables i provades tenen més possibilitats d'una recuperació completa sense pagar. Independentment de si els fitxers es recuperen finalment, és essencial eliminar el ransomware dels sistemes infectats; en cas contrari, pot tornar a xifrar els fitxers restaurats o propagar-se més.

Passos immediats després de detectar una infecció

Les primeres prioritats són la contenció i la preservació de les proves forenses. Desconnecteu immediatament les màquines infectades de les xarxes (desconnecteu els cables de xarxa, desactiveu el Wi-Fi) i aïlleu-les per evitar moviments laterals. No apagueu els sistemes bruscament si es preveu una captura forense; en comptes d'això, conserveu les imatges si és possible i documenteu les marques de temps i les accions realitzades. Si teniu còpies de seguretat recents verificades, inicieu una recuperació controlada només després d'assegurar-vos que el programari maliciós s'ha eradicat de l'entorn.

Millors pràctiques de seguretat per reduir el risc i limitar l’impacte

Mantenir còpies de seguretat provades fora de línia: Mantenir còpies de seguretat periòdiques de les dades crítiques amb almenys una còpia emmagatzemada fora de línia o en un suport immutable. Provar regularment els procediments de restauració perquè les còpies de seguretat siguin fiables durant un incident.

Aplicar pegats i reforçar els sistemes : aplicar actualitzacions de seguretat puntuals als sistemes operatius, aplicacions i firmware. Reduir la superfície d'atac desactivant els serveis no utilitzats i eliminant el programari innecessari.

Utilitzeu la protecció de punts finals i l'EDR : implementeu solucions antivirus modernes i de detecció i resposta de punts finals que puguin detectar i bloquejar comportaments maliciosos, amb registre i alertes centralitzats.

Aplicar els privilegis mínims i la segmentació de xarxa : limitar els privilegis d'usuari i servei només al que sigui necessari. Segmentar les xarxes de manera que un punt final compromès no pugui arribar fàcilment a servidors crítics o còpies de seguretat.

Autenticació forta i MFA : requereixen autenticació multifactor per a l'accés remot, el correu electrònic i els comptes administratius. Substituïu les contrasenyes predeterminades o febles per credencials fortes i úniques.

Passarel·les de correu electrònic i web segures : utilitzeu el filtratge de correu electrònic avançat i l'escaneig d'URL per reduir els fitxers adjunts maliciosos i els enllaços de phishing. Implementeu el filtratge DNS i web per bloquejar l'accés a llocs web maliciosos coneguts o a la infraestructura de comandament i control.

Formació d'usuaris i simulacions de phishing : Formeu regularment els empleats per reconèixer el phishing, l'enginyeria social i les descàrregues sospitoses; utilitzeu campanyes de phishing simulades per mesurar i millorar la conscienciació.

Controlar la instal·lació de programari i els suports extraïbles : Restringir la capacitat d'instal·lar aplicacions o executar codi sense signar. Bloquejar o supervisar l'ús d'unitats USB i altres suports extraïbles.

Consideracions sobre la recuperació i la neteja

L'eradicació del ransomware és un requisit previ per a una recuperació segura. Treballeu amb professionals de TI i seguretat per identificar els mecanismes de persistència (entrades d'inici, tasques programades, serveis, artefactes de moviment lateral) i elimineu-los. Torneu a crear la imatge dels sistemes molt compromesos quan sigui necessari. Abans de restaurar les dades, confirmeu que l'entorn estigui net; en cas contrari, les dades restaurades es poden tornar a xifrar. Preserveu les proves per a les forces de l'ordre i, si cal, consulteu amb proveïdors de ciberassegurances i assessors legals sobre els requisits de divulgació.

Notes finals: Resiliència per sobre del rescat

El modus operandi del KREMLIN, que consisteix a xifrar fitxers i exigir el pagament amb criptomoneda després d'indicar a les víctimes que es posin en contacte a través de Telegram, és típic del ransomware modern: ràpid, disruptiu i amb motivacions financeres. La defensa més eficaç és una postura de seguretat per capes (controls tècnics, aplicació de pegats, detecció), còpies de seguretat robustes fora de línia i una resposta a incidents pràctica. Si s'infecta, prioritzeu la contenció, l'eliminació i la restauració des de còpies de seguretat de confiança; eviteu dependre de les promeses dels atacants i contracteu professionals que responen a incidents i les forces de l'ordre.