Grupo ciberdelincuentes SynAck entrega llave de cifrado de su antiguo ransomware… para celebrar el lanzamiento del nuevo El_Cometa

Para celebrar el final de  'SynAck 2.0', han decidido tener un inédito gesto aparentemente amigable con sus antiguas víctimas, optando por liberar las claves maestras de descifrado de su antiguo ransomware (también bautizado SynAck), que estuvo operando entre julio de 2017 y comienzos de este año. Habiendo anunciado ya el lanzamiento de un nuevo ransomware (denominado El_Cometa) y un cambio de su 'modelo operativo', basado en el ransomware-as-a-service y en el crecimiento del número de 'afiliados'. La empresa española Jealsa Rianxeira, fue víctima de éste ransomware.

Ransomware SynAck publica claves de descifrado después del cambio de marca a El_Cometa

Cuando las operaciones de ransomware cifran archivos, generalmente generan claves de cifrado en el dispositivo de la víctima y cifran esas claves con una clave de cifrado maestra. La clave cifrada se incrusta en el archivo cifrado o en la nota de rescate y solo se puede descifrar utilizando las claves maestras de descifrado de la banda de ransomware (claves privadas).

Según informa The Record, dichas claves han sido autentificadas por Michael Gillespie, el creador del servicio ID-Ransomware, quien tuvo oportunidad de usarlas para recuperar ficheros de viejos ataques perpetrados por SynAck.

Gillespie no considera recomendable que las víctimas de éstos intenten hacer uso de las claves maestras descifrado, pues sigue siendo un proceso complejo que podría dañar aún más los ficheros secuestrados; en su lugar, ha anunciado el lanzamiento inminente de su propia herramienta de desencriptado, "más segura y fácil de usar".

El CTO de Emsisoft, Fabian Wosar, dijo que el archivo contiene un total de dieciséis claves maestras de descifrado.

La operación de ransomware SynAck se lanzó en agosto / septiembre de 2017, pero nunca fue un grupo muy activo. Su mayor actividad fue en 2018, pero disminuyó lentamente a fines de 2019.

A fines de julio de 2021, el grupo de ransomware cambió su nombre a El_Cometa y se convirtió en un ransomware-as-a-service (RaaS), donde reclutan afiliados para hackear as redes corporativas e implementar su cifrador.

Si bien no es común que las bandas de ransomware liberen claves maestras de descifrado, ha sucedido en el pasado cuando las operaciones se cierran o se renombran con un nuevo nombre.

Otras bandas de ransomware que también han publicado claves maestras de descifrado:

• Avaddon
• TeslaCrypt
• Crysis
• AES-NI
• Shade
• FilesLocker
• Ziggy
• FonixLocker

Algunos ejemplos de Rebranding de Ransomware:

•     GandCrab → REvil
•     BitPaymer → DoppelPaymer → Grief
•     WastedLocker → Hades → Phoenix → Macaw
•     Maze → Sekhmet → Egregor
•     DarkSide → BlackMatter 
•     Defray777 → RansomEXX
•     MountLocker → AstroLocker → XingLocker
•     Babuk → Payload.bin → Groove
•     SynACK → El_Cometa
•     Prometheus → Spook
•     Nemty → Nefilim → Karma

Herramienta gratuita Descifrado SynAck

Emsisoft Decryptor para SynAck

SynAck es un ransomware que se detectó por primera vez en 2017 y cifra los archivos mediante ECIES y AES-256, o RSA-2048 y AES-256.

SynAck agrega una extensión aleatoria a cada archivo, pero puede identificarse mediante un marcador de archivo especial al final de los archivos que también indica qué versión del malware se utilizó.

Para descifrar sus archivos, el descifrador requerirá una nota de rescate, que contiene la clave cifrada.

Por ejemple si se muestra un ejemplo de nota de rescate "RESTORE_INFO-538E9B04.txt".

Se debe seleccionar una nota de rescate:

• Descargar herramienta gratuita descifrado ransomware SynAck

Vía:

https://www.genbeta.com/seguridad/grupo-cibercriminales-libera-claves-desencriptado-su-antiguo-ransomware-para-celebrar-lanzamiento-nuevo