RANSOMWARE o Extorsión Digital

El ransomware es un tipo de código malicioso (malware) que se puede propagar como cualquier otro troyano y que tiene por finalidad cobrar rescate o extorsionar a los afectados al limitar el acceso a la información contenida en sus computadoras o con amenazas de hacer pública información privada contenida en dichas computadoras.

La aparición de este tipo de malware no es nueva, la primera versión de la que se tiene conocimiento data de 1989 con la aparición del troyano AIDS, el cual también fue conocido como PC Cyborg, este troyano cifraba los nombres de los archivos utilizando un algoritmo de llave simétrica y ocultaba los directorios en el disco, originalmente fue distribuido utilizando discos flexibles (diskettes) en listas de correo postal (si, leyó bien, correo postal, antes se usaba el correo postal para el envio de información personalizada). Este troyano demandaba el pago de 189 dólares para liberar los archivos.

En 1996 los investigadores Adam Young y Moti Yung propusieron el uso de criptografía de llave pública RSA en este tipo de ataques en su publicación “Cryptovirology: Extortion-Based Security Threats and Countermeasures“.

En 2005 el ransomware reapareció cuando se hicieron públicos varios ataques donde los delincuentes haciendo uso de un troyano cifraban todos los archivos del disco y solo dejaban un archivo de texto visible que contenía la siguiente instrucción: “Envíe un correo electrónico a la siguiente dirección, para recibir la clave de recuperación de sus datos” como respuesta las víctimas recibían una nota de rescate, donde solicitaban el pago de 200 dólares para obtener la clave para descifrar los archivos.

En esa época [entre 2006 y 2010] aparecieron varios tipos de troyanos que aplicaban la técnica de ransomware entre ellos Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, and MayArchive.

También se dieron a conocer casos de ransomware, donde los criminales no cifraban los archivos, tales como el caso de WinLock, en estos casos sus ataques estaban basados en mostrar imágenes pornográficas de forma indiscriminada en la máquina afectada, hasta que la víctima enviará un mensaje SMS de cobro a un número especificado, el pago exigido era de entre 300 y 1.000 rublos [Aproximadamente entre 10 y 35 USD].

Nuevas Generaciones de RANSOMWARE

En fechas más recientes [estamos hablando de 2012 en adelante] aparecieron nuevas versiones de este tipo de amenazas, la primera de ellas fue conocida como Reveton, la cual le exigía el pago de una suma de dinero a los afectados bajo la amenaza de que el equipo infectado había sido identificado por la policía u otros cuerpos de seguridad como incurso en actividades ilícitas, tales como: descargas ilegales de software o en redes de prostitución infantil, este troyano fue conocido como el virus de la policía o del FBI. Reveton estaba basado en Citadel y Zeus, copiando los procesos de operación para su distribución y control tipo BotNet.

CryptoLocker y sus variantes [CryptoWall y TorrentLocker]

Después de Reveton, en 2013 apareció CrytoLocker, también basado en BotNets y utilizando criptografía RSA de 2048 bits. Este troyano logró extorsionar alrededor de 30 millones de dólares, antes de que la red de delincuentes que lo operaba fue desmantelada en la Operación Tovar dirigida por el Departamento de Justicia Norteamericano y un gran grupo de entidades que lo apoyaron entre ellos:  Australian Federal Police, National Police of the Netherlands National High Tech Crime Unit, European Cybercrime Centre (EC3); Germany’s Bundeskriminalamt, France’s Police Judiciare, Italy’s Polizia Postale e delle Comunicazioni, Japan’s National Police Agency, Luxembourg’s Police Grand Ducale, New Zealand Police, Royal Canadian Mounted Police, Ukraine’s Ministry of Internal Affairs – Division for Combating Cyber Crime, The United Kingdom’s National Crime Agency, The Defense Criminal Investigative Service of the U.S. Department of Defense, Dell SecureWorks, CrowdStrike, Microsoft Corporation, Abuse.ch, Afilias, F-Secure, Level 3 Communications, McAfee, Neustar, Shadowserver, Anubis Networks, Symantec, Heimdal Security, Sophos y Trend Micro.

En 2014 aparecieron tres nuevas variantes de CryptoLocker conocidas como CryptoWall, CryptoDefense y TorrentLocker, que aunque hacían de alguna forma referencia al nombre del CryptoLocker original, no estaban relacionados los unos con los otros, la versión de CryptoWall evadía el escaneo automático de herramientas de seguridad, al exigirle al usuario que introdujera un CAPTCHA para poder descargar los archivos relacionados con el troyano [Claro está que se hacían pasar por información legítima].

Más recientemente [Enero 2015] apareció una nueva raza de CryptoVirología la cual se bautizó con el nombre de TeslaCrypt, esta última se diferencia de CryptoLocker, CryptoWall y sus variantes, en que además de cifrar datos contenidos en archivos de trabajo, tales como hojas de cálculo y documentos texto, busca y cifra archivos relacionados con juegos tales como Call of Duty, World of Warcraft, DayZ, Minecraft, Fallout y Diablo. TeslaCrypt también busca  información relacionada con la declaración de impuestos y manejo de información financiera contenida en aplicaciones como: Quicken’s e información de almacenes digitales de audio y video como iTunes. TeslaCrypt puede y busca cifrar datos incluso en las unidades externas tales como discos USB y unidades remotas a las que se tenga acceso via red como unidades de disco compartidas.

¿Que hacer?

Afortunadamente para todos nosotros el ransomware es un tipo de troyano, por lo que no se propaga de forma automática como los virus, si esto fuera así, sería una verdadera pesadilla.

Antes de dar cualquier recomendación, los usuarios deben entender que la pérdida de sus datos se pueden producir de muchas formas [fallas de hardware, robos, accidentes], el ransomware es solo una forma diferente de llegar al mismo resultado, la pérdida total de los datos.

Lo primero que se debe hacer es entender la anatomía de los ataques de ransomware, para lo cual una reconocida empresa de seguridad desarrolló una muy buena infografía que puede ser consultada y descargada.

La segunda recomendación es mantener el software de su sistema operativo y aplicaciones actualizadas con los últimos parches de seguridad, incluido el software antivirus.

La tercera recomendación es ser muy cuidadoso con los correos electrónicos que recibe y lee, el ransomware se propaga por esta vía, sospeche de cualquier anexo, que venga de fuentes conocidas o desconocidas, si no está esperando un anexo, puede ser señal de algo malo.

La cuarta recomendación es mantener actualizado un backup fuera de línea, tome una unidad externa y haga sus respaldos de forma regular y desconéctelo de la computadora hasta el momento de hacer el próximo respaldo. Este respaldo sería la única garantía de recuperar sus datos en caso de una situación desastrosa. Use el sentido común, si necesita transportar los discos con el respaldo hacia otra ubicación, no lo traslade en el mismo equipaje donde lleva su computadora personal, de esta forma, si se pierde uno, se salva el otro.

La quinta recomendación es: usar el antivirus. No solo basta con tenerlo instalado, el antivirus hay que usarlo de forma regular y frecuente. Lo mejor es mantenerlo activo para que realice el escaneo automático, sin embargo, sería prudente activar un escaneo manual diario y escaneo profundo una o dos veces a la semana. No es recomendable tener activado más de un antivirus al mismo tiempo, pero si lo puede combinar con otras herramientas especializadas en búsqueda de troyanos, haga uso regular de ellos tambien.

Los usuarios avanzados, podrían hacer uso de HIPS que busquen conexiones hacia y desde sitios sospechosos de operar como centros de control de troyanos [fase 2 del ataque] y tengan la capacidad de interceptar y anular dichas conexiones.

Los usuarios avanzados también podrían establecer listas blancas de aplicaciones autorizadas para ser ejecutadas, lo que significa que si se instala algún software no autorizado [troyano], el mismo no se va a ejecutar.

Y lo más importante NO PAGUE rescate, porque incluso si realiza el pago, no hay garantía de que va a recuperar sus datos, recuerde que esta tratando con delincuentes organizados, a esos sujetos lo único que les interesa es obtener el dinero, sus datos en este caso no les importan para nada.

En caso de ser víctima de este tipo de troyanos, lo más probable es que tenga que aplicar el proceso de recuperación total del equipo, lo que implica la reinstalación total del software, aunque existen métodos para remover la infección, los datos siempre deberán ser recuperados del respaldo.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s