Ransomware CTB-Locker infecta a 70 servidores web


Al igual que otros tiburones de los negocios, los cibercriminales están en una búsqueda constante de nuevos mercados. Llevan a cabo experimentos, cambian su público de destino y proporcionan información a las víctimas, todo con la intención de conseguir dinero fácil. Esto es exactamente lo que observamos en la última versión de CTB-Locker.


Esta familia de ransomware ha sido bastante inteligente anteriormente: por ejemplo, utilizó la red de anonimato de Tor Project para protegerse de expertos en seguridad, y solo aceptaba pagos a través de Bitcoin casi imposibles de rastrear.


Y ahora, las buenas noticias para los usuarios domésticos, y malas para las compañías: El objetivo CTB-Locker más reciente son los servidores web solamente. Mientras que el ransomware tradicional cifra archivos de usuarios, este solo cifra datos en la raíz del servidor web. Sin estos archivos, la web no existiría.

Los criminales consiguen hasta 150 dólares (o exactamente 0,4 de bitcoin) como rescate. Si una víctima no paga a tiempo, el precio se duplica.


Estos también reemplazan la página principal del sitio web hackeado con un mensaje que explica los detalles, lo que ha pasado, y cuándo/cómo se debe transferir el dinero. Añaden un vídeo con indicaciones para ayudar a aquellos que no saben cómo comprar bitcoins, y les ofrecen descifrar dos archivos al azar para comprobar su “honestidad”. La víctima puede incluso chatear con los atacantes utilizando un código especial y solo disponible para las víctimas.

Hasta donde sabemos, el Nuevo CTB-Locker ya ha cifrado datos de más de 70 servidores localizados en 10 diferentes países, el más afectado es Estados Unidos, lo cual no me sorprende.


El ransomware CTB-Locker es un verdadero golpe para Internet, ya que aún no existe una herramienta de descifrado que pueda ayudar a las víctimas. La única manera de rescatar los archivos infectados es pagando el rescate rápidamente.

Aún no sabemos cómo el CTB Locker está implementándose en los servidores web, pero hemos observado una cosa en común: un gran número de víctimas utilizan la plataforma de WordPress. Por lo que os recomendamos lo siguiente:

  • Actualiza WordPress regularmente, ya que sus versiones no actualizadas suelen contener una serie de vulnerabilidades.
  • Ten cuidado con los plugins de terceros: estas extensiones pueden ser muy útiles, pero solo cuando son creadas por desarrolladores de confianza.
  • Haz una copia de seguridad de tu información importante.
  • Ten cuidado con los correos electrónicos de phishing
  • No creas en anuncios de “muy bueno para ser verdad” que aparecen online y que te animan a instalar un software de terceros de cualquier tipo (por ejemplo, para análisis web).


A pesar de que esta versión de ransomware en particular solo está dirigida a páginas web, existen muchos otros métodos de cifrado que tienen como objetivo los archivos personales. Para aquellos usuarios domésticos recomendamos instalar una solución de seguridad de confianza, hacer copias de seguridad de forma regular y evitar el phishing, ya que hoy en día es la opción más común para todo tipo de programas maliciosos, incluyendo el ransomware.