Hoy la amenza de “Ransomware”, está en boca de todos, dado que ya muchas instituciones han tenido ataques y sufrido con el secuestro de información, pero la verdad es que los primeros incidentes se conocen a partir de 1989.
En el año 2000 se conoció “Gpcode”, que tenía la capacidad de cifrar archivos con algoritmos propios de encriptación. Luego de que se identificara este malware se conocieron otras variantes como Krotten y Crypzip, entre otros. La verdad es que en esos momentos no se pensó que estos ataques se convertirían en epidemias como lo que está pasando hoy.
Inclusive en Septiembre 30 del 2008, Techworld publicó:
“A pesar de su temible reputación, la amenaza de “ransomware” es todavía, por suerte, un fenómeno raro.
Hay varias teorías de por qué estos son casos raros:
Complejidad del software
La dificultad de establecer un canal seguro a través del cual se puedan recibir los pagos de los rescate de las víctimas.
Existen otro tipo de malware más fáciles de utilizar y más rentables para los criminales.”
El ransomware es un tipo de código malicioso (malware) que tras infectar un equipo, secuestra la información para extorsionar a las víctimas, solicitando el pago de sumas de dinero (Ej: Bitcoins) para restaurar la operatividad de los datos privados de la víctima.
Los delincuentes amenazan con actuar contra la información ya secuestrada en la medida que pasa el tiempo desde el ataque. En este proceso y para ejercer más presión, el malware en forma automática y dirigido por centros de comando y control externo, empiezan a eliminar información de la víctima.
El proceso de infección por lo general se compone de dos etapas. La primera requiere que la víctima tome una acción, como por ejemplo de intentar abrir un archivo desconocido el cual por lo general se ejcutará sin llamar la atención, y posteriormente este archivo (malware) accederá al sitio del atacante, desde donde será instalado el “ransomware”que en definitiva cifrará la información. Posteriormente los datos de la víctima serán encriptados utilizando procedimientos criptográficos, que en algunos casos pueden modificar los archivos de manera irrecuperable. El proceso de cifrado generará dos claves (pública y privada), y el atacante ofrece enviar una llave a cambio del pago.
La estrategia de cifrado de archivos basa su eficiencia, en que el valor de la información para el usuario (Persona/Empresa) es único, es su activo más valioso y solo pueden volver a tenerlos si cuentan con respaldos y/o pagando el rescate. Esto ha dado mucho poder a los delincuentes que piden grandes cifras de dinero y la alternativa del Bitcoins que se hizo popular entre los ciberdelincuentes les facilita su accionar dado que rastrear una transacción sigue siendo muy difícil.
Cifran archivos de equipos personales y servidores
Keranger, PayCrypt, Job Cryptor, LockyMagic, entre otros.
Bloquean Pantallas de ingreso a los equipos (Método menos usado, antiguo)
Cifran y secuestran dispositivos móviles (Aumentando)
Propagación por correos electrónicos dirigidos o Spam
Páginas WEB infectadas (El usuario no se da cuenta)
Conexión de dispositivos periféricos (USB)
“En lo referente a América Latina, los países más afectados, clasificados según la penetración del ransomware, son: Brasil, Costa Rica, Chile, Argentina y Colombia. Principalmente, los analistas de software, culpan de esto a la piratería del sistema operativo. ¿Por qué? Debido a que así se podría contar con un software original y actualizado lo que podría entregar seguridad fiable y de varias capas que puede detener el cryptomalware.”
El número de infecciones ransomware se ha incrementado en el último tiempo, esto podría deberse en parte al modelo de “negocio-como-un-servicio ransomware” (RAAS). Esta estrategia particular ha demostrado ser muy lucrativa para los cibercriminales, permitiendo que los creadores de este tipo de malware estén reclutando a redes de distribuidores de su código. El esquema funciona debido al tipo de malware que se puede vender y que se puede extender a varios distribuidores y el creador puede conseguir un beneficio real. Los distribuidores no necesitan mucho capital o de altos conocimientos técnicos para comenzar; incluso los que no tienen experiencia de codificación pueden poner en marcha una campaña de “ransomware” sin mayor experiencia.
Tenga siempre respaldo de sus archivos importantes-
Compruebe regularmente que su copia de respaldo funciona.
Desconfíe de los correos de los cibercriminales. Los tres clics son letales. No confíe en nadie. Inclusive sus amigos pueden estar infectados y podrían enviarle mensajes comprometidos.
Verifique las extensiones de los archivos. Los delincuentes usan para infectar (EXE, VBS, SCR, PDF, entre otros).
Mantenga actualizado su sistema operativo (Windows o Mac) y el sistema de antivirus lo más regularmente que pueda. Esto puede mantenerlo bastante protegido del “ransomware”.
Existen herramientas que previenen que este malware tome el control de sus datos, contacte a su proveedor para anticiparse a este problema.
Elaborado por: Cristian Fuentes – Senior Security Advisor Widefense