Ransomware de Prey

Protegir els dispositius personals i corporatius del programari maliciós ja no és opcional, és essencial. Els ciberdelinqüents desenvolupen contínuament eines més avançades per comprometre les dades, i el ransomware continua sent una de les amenaces més destructives. Un dels exemples més recents d'aquest tipus de programari maliciós és Prey Ransomware, un programa maliciós identificat com una variant de la coneguda família MedusaLocker. Aquesta amenaça està dissenyada específicament per xifrar fitxers, extorquir les víctimes per obtenir un rescat i potencialment filtrar dades robades si no es compleixen les demandes.

Un atac implacable a les dades

Un cop executat en un sistema objectiu, Prey Ransomware comença a xifrar els fitxers mitjançant una combinació d'algoritmes criptogràfics RSA i AES, que són gairebé impossibles de trencar sense les claus de desxifrat dels atacants. El programari maliciós afegeix l'extensió '.prey35' a cada fitxer xifrat, transformant noms com ara 'photo.png' en 'photo.png.prey35'.

Després del procés de xifratge, el ransomware altera el fons de pantalla de l'escriptori i deixa anar una nota de rescat titulada "HOW_TO_RECOVER_DATA.html". El missatge informa a la víctima que la xarxa de la seva empresa ha estat compromesa, els fitxers xifrats i la informació sensible exfiltrada. Es demana a les víctimes que contactin amb els atacants en un termini de 72 hores o s'enfrontaran a un augment de les demandes de rescat i a l'exposició pública de les dades robades.

La promesa enganyosa del desxifratge

La nota de rescat afirma que les víctimes poden provar el desxifratge en fins a tres fitxers no essencials abans del pagament. Tanmateix, aquestes afirmacions tenen com a objectiu generar una falsa confiança. Els experts en ciberseguretat emfatitzen que pagar el rescat no garanteix la recuperació dels fitxers; en molts casos, els atacants mai proporcionen la clau o l'eina de desxifratge promesa. A més, pagar només alimenta més operacions criminals i fomenta nous atacs.

El desxifratge sense la participació de l'atacant sol ser impossible tret que el ransomware estigui mal codificat o ja hagi estat desxifrat pels investigadors. Per a la majoria de les víctimes, la recuperació depèn únicament de la disponibilitat de còpies de seguretat segures i preexistents.

Mètodes de distribució i vectors d’infecció

Com la majoria de ransomware, Prey es distribueix a través de phishing, enginyeria social i descàrregues malicioses. La infecció sovint comença quan usuaris desprevinguts obren fitxers adjunts o enllaços enganyosos. Els fitxers poden venir en nombrosos formats, com ara ZIP, RAR, PDF, EXE o documents de Microsoft Office que contenen macros malicioses. Només obrir aquests fitxers pot iniciar la cadena d'infecció.

L'amenaça també es pot propagar a través de:

• Troians i carregadors que instal·len ransomware en segon pla.
• Descàrregues impulsives o campanyes de publicitat maliciosa.
• Correus electrònics brossa que contenen fitxers adjunts o enllaços infectats.

• Actualitzacions de programari falses o activadors de programari pirata ('cracks').

• Xarxes peer-to-peer (P2P) i llocs web de programari gratuït no fiables.

• Propagació de xarxa, on el ransomware es mou lateralment a través de sistemes connectats o dispositius d'emmagatzematge externs.

Eliminació de l’amenaça i recuperació de fitxers

Si el ransomware Prey infecta un sistema, cal actuar immediatament. Cal eliminar completament el programari maliciós per evitar més xifratge. Tot i que l'eliminació atura els danys addicionals, no desencriptarà els fitxers afectats. El mètode de recuperació més segur és restaurar les dades a partir de còpies de seguretat netes i fora de línia creades abans que es produís la infecció.

Les víctimes han d'evitar interactuar amb la nota de rescat i, en comptes d'això, buscar ajuda de professionals de la ciberseguretat de bona reputació o d'equips de resposta a incidents. També és important denunciar l'incident a les autoritats locals de ciberdelinqüència.

Construint una defensa forta: pràctiques de seguretat essencials

La prevenció d'infeccions de ransomware com Prey requereix una combinació de consciència, bona higiene digital i salvaguardes tècniques. Els usuaris poden reduir significativament el risc implementant les mesures de seguretat següents:

1. Mesures de protecció proactiva

• Mantingueu els sistemes operatius, el programari i les eines antivirus actualitzats.
• Habiliteu l'autenticació multifactor (MFA) sempre que sigui possible.
• Utilitzeu un conjunt de seguretat fiable amb monitorització d'amenaces en temps real.
• Desactiva les macros al Microsoft Office i bloqueja les descàrregues automàtiques.
• Eviteu obrir fitxers adjunts inesperats o fer clic a enllaços de remitents desconeguts.

2. Pràctiques de còpia de seguretat i gestió de dades

• Mantingueu diverses còpies de seguretat de dades, una en un servidor remot (núvol) i una altra en un dispositiu físic desconnectat (disc dur extern, USB).
• Verifiqueu regularment la integritat de les còpies de seguretat per assegurar-vos que els fitxers es puguin restaurar.

• Aïlleu els sistemes de còpia de seguretat de la xarxa principal per evitar infeccions creuades.

Conclusió: la vigilància és la millor defensa

L'auge del ransomware Prey posa de manifest l'evolució contínua de les amenaces cibernètiques i la necessitat d'una vigilància constant. Pagar el rescat només agreuja el problema, mentre que la prevenció i la preparació continuen sent la defensa més eficaç. Practicant hàbits de ciberseguretat sòlids, mantenint còpies de seguretat regulars i evitant comportaments en línia arriscats, els usuaris poden reduir considerablement les possibilitats de ser víctimes de ransomware com Prey.