·

·

Ransomware el malware que secuestra tu información

Por JAT Consulting el 22 Junio, 2015 Sin Comentarios

Ransomware, el malware que impide el acceso a la computadora y realiza un secuestro de información hasta pagar por el rescate se ha convertido en el dolor de cabeza de muchos.

¿Qué es el Ransomware?

El ransomware es un malware que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del disco duro del sistema operativo inutilizando el dispositivo o coaccionando al usuario a pagar el rescate.

El uso del ransomware se hizo popular en Rusia. Sin embargo, su popularidad y modelo de negocio rentable hizo que creciera internacionalmente en junio del 2013. La empresa de seguridad McAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250.000 tipos de ransomwares únicos.

Métodos de propagación

Normalmente el ransomware se trasmite tanto como un troyano como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de un software. En este punto, el ransomware se iniciará y cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

Tipos de Ramsomware

Reventon

En el año 2012, se comenzó a diseminar un ranwomware llamado Reventon. Estaba basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde reside la víctima. Por este funcionamiento se lo comenzó a nombrar como “trojan cop” o “troyano de la policía”, debido a que alegaba que el computador había sido utilizado para actividades ilícitas, tales como descargar software pirata o pornografía infantil. El troyano despliega una advertencia informando que el sistema operativo fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarla, mediante el pago de un vale a una cuanta anónima como puede ser Ukash o Paysafercard.

Con el objetivo de hacer creer a la víctima que su computador está siendo monitoreado por la ley es que se muestra la dirección IP del computador en la pantalla como así también se puede desplegar material de archivo simulando que la cámara web de la computadora está filmando a la víctima. A principios del año 2012 comenzó su expansión por varios países de Europa, según el país podría variar el logo referente a las Fuerzas de la Lay referentes a cada país. Por ejemplo en el Reino Unido contenía el logo del Servicio de Policía Metropolitana, debido a estos sucesos la Policía Metropolitana envió un comunicado informando que bajo ningún concepto ellos bloquearían una computadora ni siquiera como parte de una investigación.

En Mayo del 2012, La empresa de seguridad Trend Micro descubrió las variaciones de este malware en los Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo en América del Norte. En Agosto 2012, se comenzó a utilizar el logo del FBI para reclamar una fianza de $200 dólares a pagar mediante una tarjeta de aMoneyPak a los propietarios de las computadoras infectadas. En Febrero del 2013, un ciudadano ruso fue arrestado en Dubai por las autoridades españolas debido a su conexión con la red criminal que había estado usando el malware Reventon, a este ciudadano se le sumaron otras 10 personas con cargos por lavado de dinero. En Agosto del 2014, La empresa de seguridad Avast reporto nuevas variantes de Reventon, donde se distribuía software malicioso con el fin de robar contraseñas.

CryptoLoker

En Septiembre del 2013 hizo su reaparición el Ransomware basado en la encriptación de archivos también como CryptoLoker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se encriptan archivos de un tipo de extensión especifica. El malware elimina la clave privada a través del pago de un Bitcoin o un bono prepago en  efectivo dentro de los 3 días luego de la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil de reparar el ingreso de la infección a un sistema. En caso de que el pago se retrase más allá de los 3 días el precio incrementa a 10 Bitcoin el cual equivale aproximadamente a $2300 dólares en Noviembre del 2013. CryptoLoker fue aislado gracias a que se incautó la red GameoverZeuS, tal cual fue anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2 de Junio del 2014.

El Departamento de Justicia a si mismo emitió una acusación en contra del hacker ruso Evgeniy Bogachev alegando su participación en la red GameoverZeus. Se estima que al menos $3 millones de dólares se cobraron hasta que el malware fue dado de baja.

CryptoLocker.F y TorrentLocker

En Septiembre del 2014, una ola de ransomware llegó a sus primeros objetivos en Australia, denominados bajos los nombres de CryptoWall y CryptoLocker. Las infecciones se propagaban a través de una cuenta falsa del correo Australiano la cual enviaba correos electrónicos notificando de entregas fallidas de paquetes. De este modo se evadía el chequeo de correos electronicos de manera que se consideraran spam y no llegasen a los destinatarios. Esta variante requería que los usuarios ingresaran a una página web y mediante un código CAPTCHA accedieran a la misma, antes de que el malware sea descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware. La empresa de seguridad Symantec determino la aparición de nuevas variantes conocidas como CryptoLocker.F el cual no tenía ninguna relación al original debido a sus diferencias. La Corporación Australiana de Broadcasting fue víctima de estos malware, en la cual durante media hora fue interrumpido su programa de noticias ABC News 24 y tuvo que trasladarse hacia los estudios de Melbourne y abandonar las computadoras pertenecientes al estudio de Sydney debido a un CryptoWall.

TorrentLocker es otro tipo de infección con un defecto ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado paso a ser trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y 11700 en Turquía.

Cryptowall 3.0

Cryptowall (también conocido como Crowti) es una variedad de ransomware dirigida al sistema operativo Microsoft Windows. Se propaga a través de correos electrónicos de suplantación de identidad, los cuales usan software de explotación como Fista o Magnitud, para tomar el control del sistema, encriptar archivos y así pedir el pago del rescate del computador. El rango de precios se encuentra entre los $500 dólares y $1000 dólares, CryptoWall 3.0 ha sido reportado desde el Enero del 2015 como una infección que está surgiendo donde los hackers maliciosos rusos se encuentran detrás de esta extorsión.

Mitigación

Al igual que muchas formas de malware, los programas de seguridad las detectan (ransomware) una vez que han hecho su trabajo, especialmente si una versión del malware está siendo distribuida. Si un ataque se detecta de manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar el proceso de encriptación. Expertos sugieren instalar un software que ayude a bloquear este tipo de ataques, como así también tener respaldo de seguridad en lugares inaccesibles para cualquier malware.

El hacker ético e investigador de seguridad Jada Cyrus ha reunido todas las herramientas y soluciones que se conocen hoy en un kit de eliminación de ransomware que ha llamado Ransomware Response Kit y que se puede descargar desde la web.

Ransomware el malware que secuestra tu información

Posts Relacionados

Echa un vistazo a estos posts

Unirse a la conversación