El Ransomware es un tipo de software malicioso que pretende secuestrar los datos de un sistema o de un conjunto de sistemas a cambio de un rescate. Este secuestro puede ser de datos (cifrándolos) o del sistema (inutilizándolo). Los cibercriminales detrás de las campañas de ransomware suelen pedir el rescate en un determinado plazo de tiempo y si este se cumple, y la víctima no ha pagado, se verá incrementada la cuantía del rescate, para meter urgencia en la toma de la decisión de las víctimas.
En los rescates, la forma predeterminada para pagarlos, han sido las criptomonedas, y especialmente BitCoin, lo que hizo que los investigadores de ciberseguridad, como fue el caso de Yaiza Rubio y Felix Brezo, pusieran sus esfuerzos de investigación en todo el ecosistema BitCoin, BlockChain y el lista de criptomonedas creadas sobre esta tecnología.
Figura 1: Ransomware: Unos consejos y cuidados personales
para lidiar con la industria de la extorsiones
En los rescates, la forma predeterminada para pagarlos, han sido las criptomonedas, y especialmente BitCoin, lo que hizo que los investigadores de ciberseguridad, como fue el caso de Yaiza Rubio y Felix Brezo, pusieran sus esfuerzos de investigación en todo el ecosistema BitCoin, BlockChain y el lista de criptomonedas creadas sobre esta tecnología.
Figura 2: BitCoin: La tecnología Blockchain y su investigación de Felix Brezo y Yaiza Rubio |
Por supuesto, los cibercriminales nunca se quedan quietos y siempre están buscando sacar tajada de lo que sea, por lo que desarrollan planes de negocio con actos delictivos como es la venta de servicio de ransomware o bien programas de ransomware que no necesitan de un entendimiento profundo del ámbito para poder utilizarlos, esto es llamado Ransomware as a Service.
Un repaso rápido a la historia del ransomware
Este tipo de ataques existe desde la década de los 80 cuando el biólogo Joseph Popp introdujo un ransomware a través de un troyano (AIDS Info Disk) que fue enviado por correo no digital. Este correo contenía un floppy disk con información sobre el SIDA. También conocido como PC Cyborg Trojan, reemplazaba el fichero AUTOEXEC.BAT y contaba las veces que se arranca el equipo, una vez llegaba a 90 inutilizaba el sistema cifrando los nombres de los ficheros de la unidad utilizando criptografía simétrica.
En 2005 apareció el primer ransomware en Internet, GPCODER. Con objetivo de sistemas Windows tuvo variantes como el GPCODE.AK que utilizaba cifrado simétrico (RC4) y asimétrico (RSA) para crifrar los ficheros. El texto que recibía el propietario del sistema le invitaba a realizar dos pagos de 100$, cada uno, a una cuenta de Liberty Reserve y el segundo a una cuenta de e-Gold.
Más tarde, en 2010, Krotten utilizaba un supuesto programa orientado a Windows que generaba códigos “gratuitos”, de recarga, para móviles. Pero en realidad era un ransomware que bloqueaba el sistema operativo y era casi imposible de desinstalar.
En 2012, Reventon bloqueaba los sistemas haciendo creer al usuario que quién había realizado dicho bloqueo de navegadores y webs era la Policía, y que tuvo variantes de la NSA, el FBI y de PRISM, etcétera. Después apareció Cryptolocker en 2013 que utilizaba claves RSA de 2048-bits, seguida de su variante CryptoWall en 2014.
En 2015 TeslaCrypt vino para afectar a los usuarios de videojuegos como Minecraft, World of Tanks y Call of Duty, entre otros, utilizando AES encryption. Petya comenzó en 2016 se replicaba a través Dropbox e impedía el arranque del sistema y su variante NotPetya en 2017, teniendo ambos un alcance global. También en 2017, Wannacry aprovechó el exploit EternalBlue para replicarse y tuvo un impacto a nivel mundial afectando a más de 150 países y replicándose en más de 200.000 sistemas.
Un repaso rápido a la historia del ransomware
Este tipo de ataques existe desde la década de los 80 cuando el biólogo Joseph Popp introdujo un ransomware a través de un troyano (AIDS Info Disk) que fue enviado por correo no digital. Este correo contenía un floppy disk con información sobre el SIDA. También conocido como PC Cyborg Trojan, reemplazaba el fichero AUTOEXEC.BAT y contaba las veces que se arranca el equipo, una vez llegaba a 90 inutilizaba el sistema cifrando los nombres de los ficheros de la unidad utilizando criptografía simétrica.
Figura 3: AIDS Info Disk
En 2005 apareció el primer ransomware en Internet, GPCODER. Con objetivo de sistemas Windows tuvo variantes como el GPCODE.AK que utilizaba cifrado simétrico (RC4) y asimétrico (RSA) para crifrar los ficheros. El texto que recibía el propietario del sistema le invitaba a realizar dos pagos de 100$, cada uno, a una cuenta de Liberty Reserve y el segundo a una cuenta de e-Gold.
Figura 4: Alert GPCODER.AK
Más tarde, en 2010, Krotten utilizaba un supuesto programa orientado a Windows que generaba códigos “gratuitos”, de recarga, para móviles. Pero en realidad era un ransomware que bloqueaba el sistema operativo y era casi imposible de desinstalar.
En 2012, Reventon bloqueaba los sistemas haciendo creer al usuario que quién había realizado dicho bloqueo de navegadores y webs era la Policía, y que tuvo variantes de la NSA, el FBI y de PRISM, etcétera. Después apareció Cryptolocker en 2013 que utilizaba claves RSA de 2048-bits, seguida de su variante CryptoWall en 2014.
En 2015 TeslaCrypt vino para afectar a los usuarios de videojuegos como Minecraft, World of Tanks y Call of Duty, entre otros, utilizando AES encryption. Petya comenzó en 2016 se replicaba a través Dropbox e impedía el arranque del sistema y su variante NotPetya en 2017, teniendo ambos un alcance global. También en 2017, Wannacry aprovechó el exploit EternalBlue para replicarse y tuvo un impacto a nivel mundial afectando a más de 150 países y replicándose en más de 200.000 sistemas.
El año siguiente, en 2018, Ryuk cambió el objetivo hacia las administraciones públicas. Más tarde en 2019 este ransomware comenzó a ser un ataque dirigido contra empresas, organizaciones, buscando maximizar el daño y el retorno económico para los cibercriminales. Ese mismo año también destacó el ransomware Crysis.
Figura 6: WannaCry
En 2020, llegó el gran paso al teletrabajo y con ello los ciberdelincuentes se frotaron las manos ya que el vector de ataque se hizo más grande. Algunos de los destacados fueron Maze, el cual provocó pérdidas de 70 millones en compañías estadounidenses, REvil que extrajo una cantidad altísima de datos privados y variantes de Ryuk. Ahora, en 2021, no paramos de ver, en las noticias, ciberataques hacia empresas, entidades públicas e incluso particulares.
Recientemente, hemos visto como algunos servicios públicos de España están caídos por un ransomware dirigido a su proveedor cloud, ASAC. También, como la red de oleoductos de Colonial se ha visto paralizada por otro ransomware y ha pagado un rescate de más de 4 millones de Euros. Por otro lado, tenemos a Qlocker que está cifrando archivos de los NAS de los usuarios de QNAP, REvil amenazando a Apple con sacar a la luz Blueprints de sus productos o alguna universidad española que han sufrido otros ataque que han entorpecido el curso académico.
Y ojo porque estamos seguros de que el Ransomware va a llegar a los servicios Cloud en plataformas SaaS, como ya explicaron nuestros compañeros Pablo González, Ioseba Palop y Chema Alonso con RansomCloud O365, un ataque ransomware para cifrar los contenidos de Office 365 directamente en la nube,
¿Cómo evitar o mitigar el ransomware?
Está claro que los ataques de ransomware son uno de los problemas más graves que afectan a particulares y organizaciones, y lo peor de todo es que nos estamos acostumbrando a escuchar y leer este tipo de noticias. Y por supuesto, algún día nos puede llegar de forma directa o indirecta uno de estos ataques por lo que voy a explicar unos consejos con los que podrás ponérselo más difícil a estos cibercriminales, pero que pasan todos por tener fortificado tu equipo al máximo.
¿Cómo evitar o mitigar el ransomware?
Está claro que los ataques de ransomware son uno de los problemas más graves que afectan a particulares y organizaciones, y lo peor de todo es que nos estamos acostumbrando a escuchar y leer este tipo de noticias. Y por supuesto, algún día nos puede llegar de forma directa o indirecta uno de estos ataques por lo que voy a explicar unos consejos con los que podrás ponérselo más difícil a estos cibercriminales, pero que pasan todos por tener fortificado tu equipo al máximo.
Figura 8: Máxima Seguridad en Windows Gold Edition de Sergio de los Santos en 0xWord |
Muchos de los ataques de ransomware empiezan con distribución a través de un ataque de Phishing o Spear Phshing vía e-mail, por lo que conviene conocer los métodos que los atacantes utilizan para no caer en ellos. Como comentamos en anteriores artículos, hay que ser coherente a la hora de revisar los mensajes que nos llegan por e-mail, y con plataformas como MyPublicInbox mucha gente está reduciendo la difusión de su dirección de e-mail, para mitigar la caída en listas de direcciones de difusión de SPAM que hagan que lleguen ataques de SPAM Phishing.
Por supuesto, si no has participado en un sorteo y de repente te ha tocado puedes sospechar, o bien, si no has pedido ningún paquete y te envían un mensaje diciéndote que accedas a una URL para ver el estado de tu envío, lo más probable es que el enlace sea malicioso. Esto también ocurre con las memorias USB´s o CD´s encontradas en la calle. Si no conoces de donde procede no lo insertes en tu dispositivo.
Algunas buenas opciones son segmentar las redes y fortificar tu sistema, por ejemplo, restringiendo el acceso a carpetas en Windows.
Figura 10: Funcionamiento de Latch ARW
Además, si quieres tener el control en tu mano de quién puede y quién no puede acceder a una carpeta, añade una capa más de protección sobre las carpetas con Latch ARW. Por supuesto, evita malas prácticas como dar permisos de Administrador a aplicaciones en las que no confías y mantén tu dispositivo, sistema operativo y todas las aplicaciones actualizadas.
Figura 11: Comprobación de actualizaciones de Windows
Finalmente, lo más importante, un consejo de los años 70: Haz Copias de Seguridad. Una copia de seguridad siempre puede salvarte de una situación difícil por lo que es una opción para tener en cuenta en cualquier plan de contingencia.
¡Un saludo hackers! Autor: Luis E. Álvarez, desarrollador y miembro del equipo Ideas Locas CDCO de Telefónica.
Contactar con Luis Eduardo Álvarez en MyPublicInbox |
La verdad que cada vez recibimos mas ataque y los datos que són verdaderament deberíamos de hacer la regla que dicen mucho, los datos orifinales, una còpia de seguridad en otra dispositivo y por último una còpia de seguridad en otro dispositivo y otra localització. En mi caso si entra a robar en cada si se llevan pc, nas y discos me quedo si. Nafa
ResponderEliminarDe todas, hay quien se las ingenia para hacer llegar sus malware a los usuarios. Las redes sociales influyen mucho en el engaño ya que hay usuarios que no filtran su información y controlan el acceso a su información personal y contenidos. Ahí se da mucha información a los maleantes. Es un tema que habría que tratar. Doy fe de ello.
ResponderEliminar