CyberArk Labs planta cara al ‘ransomware’ de cifrado intermitente con la herramienta White Phoenix
Este ‘script’ Python de código abierto automatiza el proceso de recuperación aprovechando que los archivos no están cifrados por completo.
Las técnicas de los ciberdelincuentes evolucionan para evitar su detección. Por ello, las soluciones que plantean las firmas de seguridad también deben evolucionar.
CyberArk Labs lanza la herramienta White Phoenix para luchar contra la expansión exitosa del cifrado intermitente. Esto es, para hacer frente a los efectos de una nueva estrategia de ransomware que aplica cifrado parcial de archivos específicos para actuar rápidamente y pasar desapercibido.
Al cifrar menos contenido, este tipo de malware no hace saltar las alarmas como otros ejemplares. La solución que plantea CyberArk Labs es un script Python de código abierto que automatiza el proceso de recuperación aprovechando precisamente el hecho de que los archivos no están cifrados por completo. Ya está disponible en GitHub.
“El término ‘White’ se ha elegido para contrarrestar los numerosos grupos de ransomware que usan la palabra ‘Black’ en sus nombres (como BlackCat, BlackByte y Lockbit Black, entre otros)”, explican sus autores “y ‘Phoenix’, porque se espera que la herramienta ayude a ‘revivir’ a las empresas (como el ave fénix), después de sufrir un ataque de ransomware“.
Esta herramienta trabaja con archivos PDF, Word (como docx y docm), Excel (xlxm, xltx y extm), PowerPoint (pptx, pptm y ptox) y ZIP. CyberArk Labs pretende ampliar el alcance a otros formatos, como archivos de vídeo y audio.