Básicamente al
leer la pregunta nos ponemos a pensar ¿Por
qué pagaría por mis datos?
En la actualidad
existen malware llamados RANSOMWARE, se puede considerar como “Secuestro de
información” (Cibersecuestro de datos). Consiste en un software malintencionado
infecta el equipo u ordenador y encripta los archivos obligando al pago de
cierta cantidad de dinero para recuperarlo.
Existe un modelo
de negocio llamado Ransomware-As-A-Service
(RAAS), especialmente en Rusia. Empieza con la venta de paquetes completos
del malware a terceros, recibiendo un porcentaje de la tarifa de rescate que
abone la victima por recuperar sus datos. Es por ello que a este tipo de
amenazas las llaman APT – Advanced Persistent
Threat – Amenaza Persistente
Avanzada.
¿Sabían que se
han detectado virus (troyanos) imitando las técnicas utilizadas por los Ransomware?
Se trata de un troyano Trojan-cryptor Polyglot llamado MarsJoke.
Este imita las técnicas utilizadas por el temido Ransomware CTB-Locker. Su
principal medio de propagación es correos electrónicos no deseados, posee
documentos de confianza, enmascarando un instalador malicioso. Kaspersky
ha creado una herramienta gratuita que permite descifrar la encriptación de esta
amenaza. se llama
RannohDecryptor (versión 1.9.3.0 o posterior).
No solo existen
Malware de la familia Ransomware que secuestran información como Locky, CryptoWall o TeslaCrypt,
pidiendo rescate por la información cifrada. Ranscam, pertenece a la
familia de Malware el cual no encripta la información de los dispositivos con
Windows, sino que los BORRA por completo. Usa la misma metodología que un Ransomware
común pidiendo rescate de 0.2 Bitcoint, sin embargo, los elimina indiferentemente
que se pague o no. Obviamente es una amenaza mucho más peligrosa. Los
investigadores de Talos Security Intelligence (Investigadores de Cisco), no se
ha encontrado evidencia del método de infección, se presume que haya sido por
ataques de phishing, por ser la vía más usada por los Ransomware.
Ya es molesto
ver una pantalla que te indique que posees un APT o Ransomware con un contador
de tiempo pidiéndote pagar por tu información. Ahora imagina tener uno que
convierta el texto en voz para exclamar las amenazas en alto “YOU PERSONAL
FILES ARE ENCRYPTED, TO DECRYPT YOUR FILES FOLLOW THE INSTRUCTIONS:…”. Esto
lo hace el Cerber. Teniendo una característica que lo diferencia, está
programado para no infectar a usuarios de países de habla Rusa. Su método de
infección es enviar una alerta o mensaje indicando que posees un error en el
ordenador (esto luego de estar instalado), para incitar al usuario a reiniciar
el ordenador, utiliza cifrado AES para encriptar el contenido. Solicita el pago
de 1.24 Bitcoint, proporcionan una URL de la Dark Web con dominio .onion. De
momento los investigadores no han podido desencriptar los contenidos.
Para los que
tienen ordenadores Apple les tengo una mala noticia. SI EXISTE MALWARE RANSOMWARE para estos
equipos. Es llamado KeRanger, es el
primero con estas características completamente funcional, posee la capacidad
de infectar el OS X y encriptar el contenido del disco duro. Han utilizado Transmisión, una aplicación para
descargar archivos Torrent. La actualización del aplicativo contiene un Ransomware.
Se activa a los 3 días para conectarse al servidor y empezar el ataque. El pago
es de 1 Bitcoint.
Los desarrolladores del aplicativo Transmission
han lanzado actualizaciones de emergencia para solucionar el problema.
Motivando a los usuarios actualizar de las versiones 2.90 y 2.91 a la versión
2.92, aseguran que esta versión elimina por completo el malware
OSX.KeRanger.A del ordenador. Por su parte Apple, señala que ha revocado
el certificado digital que empleaba KeRanger, ya que permitía que el Ransomware
se instalase sin ser detectado. Los amigos de Palo Alto poseen información en
su Blog para detectar y eliminar esta amenaza.
Este tipo de amenaza
no se puede eliminar una vez ingresa a nuestro ordenador o dispositivo
portátil. El malware se esconde detrás de archivos de confianza para que el
usuario al recibirlo haga click e instale un aplicativo para encriptar los
datos. Los podrían encontrar en archivos adjuntos de correos, Acortadores de
URL, videos de páginas de dudoso origen y en programas o actualizaciones de
aplicaciones confiables. Lo único que podemos hacer es, EVITARLOS.
¿Porque el Ransomware ha tenido tanto auge
en la actualidad? - Estos ataques son normalmente dirigidos a usuarios o
sectores específicos. Esto se debe a que el ciudadano común no posee los medios
de pago y prefieren formatear el equipo antes de des encriptar sus datos. Pequeñas
y grandes empresas han sido afectados, incluyendo instituciones públicas, es
más rentable.
Se han pagado enormes cantidades de dinero
para liberar archivos infectados. Un caso muy sonado en EEUU ha sido el del
Palacio de Justicia de la Corte Superior de Arizona en el Condado de Pima, pero
también la infección por Ransomware de los hospitales Lukas de la ciudad de
Neuss y el Klinikum Arnsberg en Renania del Norte, éstos últimos en Alemania.
Los funcionarios tuvieron que trabajar de forma manual, desempolvando lápiz y
papel.
Si estas
infectado te recomendamos formatear el
ordenador. Ya que no se recomienda el pago
al ciber criminal. Como hemos mencionado en ocasiones
no devolverán el control de tu ordenador.
¿Cómo
evitarlo? – Mantén tu Firewall actualizado,
junto a el sistema operativo, navegadores y antivirus. No abras correos o
archivos de remitentes desconocidos. Si vez una advertencia al abrir una página
web, no forzar el ingreso, evita ingresar para evitar problemas futuros. Ten
copias de seguridad de tu ordenador almacenados en otros medios de
almacenamiento externos.
Varias
compañías se han sumado a esta batalla en contra del Ransomware. Como sistema
operativo, Microsoft aumenta la
seguridad de su navegador EDGE en Windows 10 Enterprice. Windows Defender Application
Guard aisla el navegador, dificultando el hackeo en las PCs. En cuanto seguridad
perimetral el Firewall WatchGuard
posee un servicio de seguridad llamado APT-Blocker. Este servicio posee las
huellas de LastLine. Y seguridad local, antivirus Kasperky, el cual ha lanzado el No More Ransom - Iniciativa de Rescate, junto con la policía de los Países
Bajos, Europol, y la seguridad de Intel para aumentar el conocimiento del
problema y ayudar a las víctimas de extorsionistas. En este portal, se pueden
realizar denuncias y descargar 4 herramientas de descifrado de malware. Adicional,
a una herramienta gratuita la cual no necesita tener la seguridad de Kaspersky
Lab instalado. Pueden conseguirla aqui.
Estadísticas de Ransomware,
según Bromium, hasta el 2015:
Fuentes de información:
-
Kaspersky Lab
-
Bleeping Computer
-
G DATA
-
Bobsguide
-
No More Ransom - Iniciativa de
Rescate www.nomoreransom.org
Edgardo Echagarreta
Coordinador de Operaciones
Servicios de Proyectos y Consultoría SGSI 0526