Investigadores de ciberseguridad han identificado una vulnerabilidad crítica en Midnight ransomware, un cifrador construido sobre el código filtrado de Babuk (2021), que ha permitido a Norton publicar un descifrador gratuito. El fallo afecta a la gestión de claves en la porción RSA del esquema híbrido de cifrado y, según reportes públicos, primero facilitó recuperaciones parciales y posteriormente un descifrado completo en múltiples casos.
Origen de Midnight y su apuesta por la velocidad de cifrado
Midnight replica en gran medida la arquitectura de Babuk, un linaje que, tras la filtración de su código, ha servido como base para numerosos forks. Al igual que su predecesor, emplea cifrado parcial de archivos: solo bloques del contenido son cifrados para maximizar la velocidad, logrando que documentos voluminosos y bases de datos queden inutilizables en pocos segundos. En las variantes recientes se amplía el espectro de objetivos a prácticamente todos los tipos de archivos, con la excepción de .exe, .dll y .msi.
Indicadores de compromiso: extensiones y artefactos visibles
En sistemas comprometidos, los archivos suelen recibir las extensiones .midnight o .endpoint. Las víctimas encuentran la nota How To Restore Your Files.txt y registros como report.midnight o debug.endpoint, útiles para trazar la ejecución. Estos IOC deberían activar búsquedas proactivas y la contención inmediata de endpoints.
Cómo cifra Midnight: ChaCha20 + RSA y dónde falló
Midnight aplica un esquema híbrido: el contenido se cifra con ChaCha20 (rápido y eficiente) y la clave de sesión se protege con RSA. La debilidad detectada reside en la implementación y gestión de claves RSA. Aunque los detalles técnicos completos no han sido divulgados públicamente, fallos de este tipo suelen implicar una generación deficiente de aleatoriedad, reutilización indebida de claves, errores en el empaquetado/padding o almacenamiento inseguro de materiales criptográficos. Cualquiera de estos vectores puede permitir la recuperación de la clave de sesión y, con ello, el descifrado.
Lección técnica: algoritmos sólidos no garantizan seguridad
El caso de Midnight subraya un principio conocido: la seguridad depende tanto de la elección de algoritmos como de su correcta implementación. Incluso con primitivos robustos como ChaCha20 y RSA, un fallo operacional en el ciclo de claves invalida el esquema completo. Incidentes similares ya se han observado en derivados de Babuk desde 2021, según cobertura especializada y análisis de laboratorios de seguridad.
Descifrador gratuito de Norton: disponibilidad y uso
Norton ha liberado una herramienta gratuita para Windows x86 y x64 que detecta automáticamente archivos afectados (incluyendo .midnight y .endpoint), crea copias de seguridad y ejecuta el proceso de recuperación. Se recomienda mantener activas las copias de respaldo en la utilidad para reducir el riesgo de pérdidas por corrupción o fallos durante el descifrado.
Impacto para organizaciones: ventana de oportunidad limitada
El bajo umbral de entrada que supone el código filtrado de Babuk acelera la aparición de nuevas familias de ransomware. Sin embargo, cuando surge un defecto criptográfico —como en Midnight— los defensores disponen de un margen para la recuperación sin pagar rescates. Esta ventana suele ser temporal: los operadores de ransomware corrigen con rapidez las fallas una vez detectadas.
Recomendaciones prioritarias de defensa y respuesta
– Aislamiento inmediato de equipos afectados y preservación de evidencias y copias de los archivos cifrados.
– Uso del descifrador oficial de Norton y verificación en un entorno controlado antes de un despliegue amplio.
– Backup 3-2-1 con al menos una copia offline/inalterable y pruebas de restauración periódicas.
– Segmentación de red y controles de acceso mínimos (principio de menor privilegio) para limitar el movimiento lateral y el acceso a recursos compartidos.
– EDR y detección por comportamiento con reglas de correlación para cambios masivos de extensiones y aparición de artefactos característicos.
– Gestión de vulnerabilidades y parches regulares, junto con MFA para accesos remotos y endurecimiento de RDP/SSH.
– Plan de respuesta a incidentes probado, con ejercicios de tabletop y cadenas de escalado claras.
Mientras la vulnerabilidad de Midnight permita el descifrado, conviene actuar con rapidez: contener, conservar evidencia y aprovechar el descifrador gratuito de Norton. Reforzar la estrategia de copias, la segmentación y la detección basada en comportamiento reducirá el tiempo de inactividad y el impacto de futuras oleadas de ransomware. Mantenerse informado y entrenar a los equipos técnicos son inversiones críticas para elevar la resiliencia frente a amenazas en constante evolución.
