Un desarrollador hackea a su atacante tras ser afectado por ransomware

Un desarrollador hackea a su atacante tras ser afectado por ransomware

Una víctima del ransomware Muhstik pagó a los atacantes para descifrar sus datos, pero después no se conformó con usar la clave privada recibida para recuperar su información, sino que decidió vengarse del ciberdelincuente.

Para ello se coló en el servidor del atacante y robó todas las claves de descifrado, que luego pondría a disposición de cualquier víctima futura.

Los ataques por ransomware satisfactorios normalmente no acaban con un resultado positivo, ya que incluso si la víctima paga y recupera finalmente sus datos, se ha perdido un tiempo y dinero preciosos.

Se la devuelven al atacante

El desarrollador de software Tobias Frömel explicó que su NAS QNAP TVS fue afectado por el ransomware Muhstik, con un total de nada menos que 14 Terabytes de datos cifrados por el atacante, que le solicitaba 670 Euros para devolverle los ficheros. Algo que el decidió pagar.

Según el advisory de la firma QNAP:

El ransomware de la familia Muhstik ha sido visto atacando reiteradamente dispositivos de almcenamiento en red de la popular firma QNAP. […] Recomendamos que los usuarios actúen lo antes posible para proteger sus datos de los ataques realizados con este malware.

Los atacantes que cifraron los archivos de Frömel emplearon la fuerza bruta para hacer un bypass de credenciales en phpMyAdmin, dejando el camino abierto para cualquier tipo de ataque posterior.

Tras pagar el rescate, Tobias se dio cuenta de que le sería posible devolverle la jugada al extorsionador si recuperaba la base de datos del servidor del criminal. Es justo lo que hizo, obtuvo el preciado fichero que contenía 2858 claves para descifrado.

El desarrollador decidió publicarlas posteriormente en Pastebin y creó además un decrypter para cualquier usuario afectado posteriormente por este ransomware.

Aunque las acciones de Frömel técnicamente serían consideradas ilegales, se ha puesto en contacto con las autoridades para comunicarlo y no sabemos de que haya sido sancionado.

Fuente: Bitdefender

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.