Los investigadores de Proofpoint han alertado sobre una nueva modalidad de ataques cibernéticos protagonizados por Prince, un ransomware gratuito disponible en GitHub, diseñado originalmente con fines educativos, pero que ha sido adaptado por ciberdelincuentes para extorsionar a empresas. Según el informe, la campaña ha afectado principalmente a organizaciones en Reino Unido y Estados Unidos, utilizando métodos inusuales como formularios de contacto en sitios web para distribuir el malware.
Un método poco convencional: formularios de contacto
Aunque el uso de correos electrónicos maliciosos es una táctica común en ciberataques, la distribución de ransomware a través de formularios de contacto supone un enfoque menos habitual pero igualmente efectivo. Los ciberdelincuentes envían mensajes que aparentan ser legítimos, como quejas o solicitudes de servicio, aprovechando los formularios disponibles en las páginas web de las empresas objetivo.
Este modus operandi recuerda a las tácticas empleadas por grupos como TA578, conocidos por introducir troyanos mediante formularios. Sin embargo, la capacidad de enviar ransomware de esta manera representa un nuevo nivel de sofisticación en los ataques, obligando a las empresas a reforzar la seguridad de estos canales de comunicación.
El esquema detrás del ransomware Prince
Una vez comprometidos, los sistemas afectados reciben una nota de rescate en la que se informa a las empresas que sus archivos han sido cifrados y filtrados. Los atacantes solicitan un pago de 0,007 Bitcoins (alrededor de 437 euros) para liberar la información. Sin embargo, los investigadores de Proofpoint aclaran que no existe un mecanismo para que los delincuentes puedan verificar qué usuarios han pagado, lo que significa que incluso abonando el rescate, las víctimas no recuperarían sus archivos.
Este fallo en el diseño del ransomware puede ser el resultado de un error de los atacantes o una intención deliberada de causar daño sin posibilidad de recuperación. Además, el creador del ransomware, identificado como SecDdg, asegura que puede modificar el código del programa para eludir sistemas de defensa como Windows Defender, ofreciendo estas personalizaciones a través de Telegram previo pago.
Recomendaciones para prevenir ataques
Proofpoint insta a las organizaciones a implementar medidas de prevención ante estas amenazas, destacando la importancia de formar a los empleados para identificar posibles intentos de fraude. Entre las señales de alerta, destacan los correos provenientes de dominios gratuitos o mensajes sospechosos enviados a través de formularios de contacto.
Además, recomiendan reforzar los sistemas de seguridad interna, incluyendo la monitorización y la protección de los formularios de contacto en los sitios web corporativos. También es crucial contar con copias de seguridad actualizadas y desconectadas de la red principal, así como utilizar herramientas avanzadas de detección y respuesta frente a ciberamenazas.
El riesgo de ransomware de código abierto
El caso de Prince pone de manifiesto el potencial peligro del software de código abierto cuando cae en manos equivocadas. Aunque programas como este están diseñados con fines educativos, su disponibilidad en plataformas como GitHub permite que ciberdelincuentes los modifiquen para fines maliciosos. Esto plantea un desafío ético y de seguridad para la comunidad tecnológica.
En palabras de los expertos, «el ransomware Prince es un ejemplo de cómo herramientas aparentemente inofensivas pueden convertirse en amenazas significativas si se modifican con intenciones delictivas». La capacidad de estos programas para adaptarse a nuevos métodos de ataque, como el uso de formularios de contacto, subraya la necesidad de innovar en las defensas frente a estas tácticas emergentes.
Un llamado a la acción
Ante el creciente impacto de campañas como la de Prince, los expertos en ciberseguridad recalcan la importancia de una estrategia integral que combine tecnología avanzada, formación del personal y procesos robustos para mitigar los riesgos. Este caso sirve como recordatorio de que, en el mundo digital, incluso los métodos de ataque menos convencionales pueden generar un daño significativo si no se toman las precauciones adecuadas.
