Una versión de un kit de herramientas de ransomware de código abierto llamado criptonita se ha observado en la naturaleza con capacidades de limpieza debido a su «arquitectura y programación débiles».
criptonita, a diferencia de otras cepas de ransomware, no está disponible para la venta en el clandestino ciberdelincuente y, en cambio, un actor llamado CYBERDEVILZ lo ofrecía de forma gratuita hasta hace poco a través de un repositorio de GitHub. Desde entonces, el código fuente y sus bifurcaciones han sido eliminados.
Escrito en Python, el malware emplea el modulo fernet del paquete de criptografía para cifrar archivos con una extensión «.cryptn8».
pero un nueva muestra analizado por Fortinet FortiGuard Labs se ha encontrado para bloquear archivos sin opción para descifrarlos de nuevo, actuando esencialmente como un borrador de datos destructivo.
Pero este cambio no es un intento deliberado por parte del atacante, sino que se debe a una falta de garantía de calidad que hace que el programa se bloquee cuando intenta mostrar la nota de rescate después de completar el proceso de encriptación.
«El problema con esta falla es que, debido a la simplicidad del diseño del ransomware, si el programa falla, o incluso se cierra, no hay forma de recuperar los archivos cifrados», dijo el investigador de Fortinet, Gergely Revay. dijo en un artículo del lunes.
La excepción lanzada durante la ejecución del programa ransomware también significa que la «clave» utilizada para cifrar los archivos nunca se transmite a los operadores, lo que impide que los usuarios accedan a sus datos.
Los hallazgos se producen en el contexto de un panorama de ransomware en evolución en el que los limpiaparabrisas bajo la apariencia de malware de cifrado de archivos se implementan cada vez más para sobrescribir datos sin permitir el descifrado.