Lo que en principio parecía una buena noticia para todas las víctimas potenciales de este ransomware ha pillado a la mayoría con el pie cambiado. Los creadores de GandCrab anunciaron recientemente el cese de sus operaciones en breve a todos sus afiliados, para terminar así con un año y medio de actividad que llegó a colocarles como una de las amenazas más peligrosas de su categoría.
Aparición, auge y ¿desaparición? de GandCrab
La primera aparición de GandCrab se produjo a finales de enero de 2018 en foros de ciberdelincuentes y vino precedida de varias operaciones de desmantelamiento de otros ransomware famosos como TeslaCrypt o Cryptowall. Desde esa fecha, y hasta la actualidad, el grupo criminal detrás de GandCrab ha sacado numerosas versiones y ha obtenido suculentos beneficios, especialmente gracias a su faceta de ransomware como servicio (RaaS), lo que permitió expandir aún más su capacidad para infectar a un elevado número de víctimas.
Fue esta modalidad de RaaS el que le permitió cosechar sus mayores éxitos y el que aupó a GandCrab a ser uno de los ransomware más detectados. Mediante un programa de afiliados, los desarrolladores se encargaban de la parte técnica mientras que sus “distribuidores” se ocupaban de propagar la amenaza al mayor número posible de víctimas, repartiéndose los beneficios entre las dos partes.
Sin embargo, desde hace unos meses el ritmo de actualización de GandCrab bajó de forma notable, especialmente desde que se publicó una herramienta de descifrado para la versión 5.1 y anteriores. Este hecho no provocó el cese de sus actividades ya que los delincuentes no tardaron en publicar una nueva versión, pero sí que se empezó a observar cierta ralentización en el ritmo de actualizaciones.
Mensaje de despedida
La bajada en el ritmo de actualizaciones suele ser una señal inequívoca de que los delincuentes están pensando abandonar el proyecto, tal y como hemos podido comprobar en un mensaje publicado en un foro donde avisan del abandono de desarrollo del ransomware y de la retirada de los miembros del grupo.
En este mensaje podemos leer varios datos interesantes, aunque algunos de ellos los debemos de coger con pinzas, ya que este grupo de delincuentes siempre se ha caracterizado por tener un sentido del humor bastante peculiar. Por ejemplo, afirman haber generado unos ingresos totales de más de 2.000 millones de dólares, con unas ganancias medías por semana de 2,5 millones. Según esta publicación, los delincuentes se habrían embolsado 150 millones de dólares al año.
Obviamente, no hay manera de comprobar si estas cifras son ciertas por lo que puede que simplemente estén lanzando un último mensaje en modo troll para sus seguidores. Así mismo, en este post hay información interesante para sus afiliados, como las instrucciones en la que instan a dejar de publicitarse en los foros underground en los que se vende GandCrab o recoger todos los beneficios antes de 20 días.
También hay un mensaje dirigido a sus víctimas en el que se alerta de la imposibilidad de recuperar los archivos cifrados cuando el plazo de 20 días finalice, ya que se borraran las claves correspondientes. Es por ese motivo que les invita a pagar el rescate lo antes posible si quieren volver a acceder a los archivos infectados.
Futuro de GandCrab
Según esta información, supuestamente estaríamos ante el final de GandCrab pero la experiencia nos dice que puede que no finalice tal y como mucha gente espera. En anteriores casos similares hemos visto varias reacciones diferentes de los delincuentes una vez dejan de utilizar un malware. Algunos, por ejemplo, optan por liberar el código fuente del código malicioso para que otros continúen su desarrollo, tal y como sucedió en el caso del troyano bancario Zeus.
Otros, sin embargo, no tienen problemas en intentar tener un último detalle con sus víctimas, que, en el caso del ransomware, les permitió recuperar los archivos cifrados. Este fue, por ejemplo, el caso del ya mencionado TeslaCrypt, que, una vez fue abandonado y tras contactar un investigador con los desarrolladores del malware, permitió generar herramientas de descifrado que muchos usuarios agradecieron.
Sea cual sea el futuro a medio plazo, no debemos olvidar que GandCrab ha sido una familia de ransomware bastante prominente pero no la única y estamos seguros que otros grupos criminales están preparando sus amenazas para tomar el relevo cuando éste deje de propagarse.
Conclusión
La mejor actitud ante noticias como esta es tomarla con cautela, y más si vienen del grupo de delincuentes responsables de GandCrab. A pesar de que inviten a sus víctimas a pagar antes de que sea demasiado tarde, esta opción nunca es recomendable ya que no se garantiza el descifrado de los archivos afectados e incluso podrían infectar a sus víctimas con un nuevo malware.
La mejor opción sería guardar los archivos afectados a la espera de que se publique alguna herramienta o llave maestra de descifrado y, ya de paso, aprender la lección y comenzar a utilizar procesos eficientes de backup y soluciones de seguridad para mitigar los daños ocasionado por el ransomware y otros códigos maliciosos.