Hackers desafortunados: cómo los extorsionadores "Midnight" terminaron perdiendo sus ganancias por accidente
El código fuente de Babuk les jugó otra mala pasada, pero esta vez a los propios ciberdelincuentes.
El equipo de Norton, parte de Gen Digital, detectó una vulnerabilidad crítica en una nueva muestra del programa de rescate denominado Midnight. Esta herramienta maliciosa está basada en el código fuente de Babuk, filtrado en 2021. Los desarrolladores de Midnight intentaron reforzar el mecanismo de cifrado, pero lo debilitaron involuntariamente, lo que permitió a los especialistas crear una herramienta gratuita para descifrar archivos.
El objetivo original de los autores de Midnight era mejorar la velocidad y la fiabilidad del cifrado. Sin embargo, cambios en la implementación provocaron errores en el manejo de las claves RSA. Como resultado apareció la posibilidad de descifrado parcial de los datos, que sirvió de base para la solución de Norton. La herramienta disponible públicamente permite recuperar archivos cifrados sin pagar el rescate, reduciendo el daño para los usuarios afectados.
Midnight heredó la arquitectura de Babuk y utiliza un cifrado combinado con los algoritmos ChaCha20 y RSA. Una característica es el procesamiento selectivo de fragmentos de archivos según su tamaño, lo que acelera el proceso y mantiene el efecto destructivo. Las versiones más recientes cifran prácticamente todo tipo de datos, excepto los archivos ejecutables con extensiones .exe, .dll y .msi.
En los dispositivos infectados, los objetos cifrados a menudo reciben las extensiones .Midnight o .endpoint, y también pueden contener esas marcas en su interior. Junto a ellos aparecen instrucciones de rescate en texto, guardadas con el nombre How To Restore Your Files.txt. A veces también se registran archivos de registro auxiliares, como Report.Midnight o debug.endpoint.
Norton publicó un descifrador compatible con de 32 bits y de 64 bits sistemas Windows. La utilidad busca automáticamente los archivos cifrados, ofrece crear copias de seguridad y lanza el proceso de recuperación. La empresa recomienda no desactivar la opción de copia de seguridad para evitar la pérdida de datos en caso de fallos.
Midnight se convirtió en otro ejemplo de cómo la reutilización del código fuente de programas maliciosos conocidos puede dar lugar no solo a nuevas amenazas, sino también a errores que los vuelven vulnerables. La herramienta gratuita de Norton — caso poco frecuente — brinda a los usuarios la oportunidad de recuperar el acceso a sus datos sin pérdidas económicas.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!