Ir al home de Widefense
Contenido Widefense Ciberdefesa

Derechos reservados Widefense ®  2021

El contenido es para fines informativos. Los enlaces a sitios de terceros se incluyen para tu conveniencia y no implican relación legal. Es posible que estos sitios difieran en estándares de privacidad, seguridad o accesibilidad.

  • LinkedIn
  • Facebook
  • Twitter
  • Instagram
  • Kenneth Daniels

La historia detrás de la ciberextorsión «Ransomware»

Un poco de historia del Ransomware:

Hoy la amenza de “Ransomware”, está en boca de todos, dado que ya muchas instituciones han tenido ataques y sufrido con el secuestro de información, pero la verdad es que los primeros incidentes se conocen a partir de 1989.

En el año 2000 se conoció “Gpcode”, que tenía la capacidad de cifrar archivos con algoritmos propios de encriptación. Luego de que se identificara este malware se conocieron otras variantes como Krotten y Crypzip, entre otros. La verdad es que en esos momentos no se pensó que estos ataques se convertirían en epidemias como lo que está pasando hoy.

Inclusive en Septiembre 30 del 2008, Techworld publicó:

A pesar de su temible reputación, la amenaza de “ransomware” es todavía, por suerte, un fenómeno raro.

Hay varias teorías de por qué estos son casos raros:

  1. Complejidad del software

  2. La dificultad de establecer un canal seguro a través del cual se puedan recibir los pagos de los rescate de las víctimas.

  3. Existen otro tipo de malware más fáciles de utilizar y más rentables para los criminales.”

Qué es el Ransomware

El ransomware es un tipo de código malicioso (malware) que tras infectar un equipo, secuestra la información para extorsionar a las víctimas, solicitando el pago de sumas de dinero (Ej: Bitcoins) para restaurar la operatividad de los datos privados de la víctima.

Los delincuentes amenazan con actuar contra la información ya secuestrada en la medida que pasa el tiempo desde el ataque. En este proceso y para ejercer más presión, el malware en forma automática y dirigido por centros de comando y control externo, empiezan a eliminar información de la víctima.

slice-6

El proceso de infección por lo general se compone de dos etapas. La primera requiere que la víctima tome una acción, como por ejemplo de intentar abrir un archivo desconocido el cual por lo general se ejcutará sin llamar la atención, y posteriormente este archivo (malware) accederá al sitio del atacante, desde donde será instalado el “ransomware”que en definitiva cifrará la información. Posteriormente los datos de la víctima serán encriptados utilizando procedimientos criptográficos, que en algunos casos pueden modificar los archivos de manera irrecuperable. El proceso de cifrado generará dos claves (pública y privada), y el atacante ofrece enviar una llave a cambio del pago.

Malware con proceso de cifrados. ¿Por qué duele tanto?

La estrategia de cifrado de archivos basa su eficiencia, en que el valor de la información para el usuario (Persona/Empresa) es único, es su activo más valioso y solo pueden volver a tenerlos si cuentan con respaldos y/o pagando el rescate. Esto ha dado mucho poder a los delincuentes que piden grandes cifras de dinero y la alternativa del Bitcoins que se hizo popular entre los ciberdelincuentes les facilita su accionar dado que rastrear una transacción sigue siendo muy difícil.

Los Ransomware más comunes:

  1. Cifran archivos de equipos personales y servidores

  2. Keranger, PayCrypt, Job Cryptor, LockyMagic, entre otros.

  3. Bloquean Pantallas de ingreso a los equipos (Método menos usado, antiguo)

  4. Cifran y secuestran dispositivos móviles (Aumentando)

Cómo llega el ransomware a los usuarios:

  1. Propagación por correos electrónicos dirigidos o Spam

  2. Páginas WEB infectadas (El usuario no se da cuenta)

  3. Conexión de dispositivos periféricos (USB)


Qué pasa en Chile Según los Laboratorios de Kaspersky (informe de marzo de 2016)

“En lo referente a América Latina, los países más afectados, clasificados según la penetración del ransomware, son: Brasil, Costa Rica, Chile, Argentina y Colombia. Principalmente, los analistas de software, culpan de esto a la piratería del sistema operativo. ¿Por qué? Debido a que así se podría contar con un software original y actualizado lo que podría entregar seguridad fiable y de varias capas que puede detener el cryptomalware.”


Ransomware as a Service (RAAS)

El número de infecciones ransomware se ha incrementado en el último tiempo, esto podría deberse en parte al modelo de “negocio-como-un-servicio ransomware” (RAAS). Esta estrategia particular ha demostrado ser muy lucrativa para los cibercriminales, permitiendo que los creadores de este tipo de malware estén reclutando a redes de distribuidores de su código. El esquema funciona debido al tipo de malware que se puede vender y que se puede extender a varios distribuidores y el creador puede conseguir un beneficio real. Los distribuidores no necesitan mucho capital o de altos conocimientos técnicos para comenzar; incluso los que no tienen experiencia de codificación pueden poner en marcha una campaña de “ransomware” sin mayor experiencia.


Como se activa y actúa el ransomware: Se debe ejecutar el archivo infectado (usualmente recibido por email) El malware baja el resto del código malicioso desde el servidor del atacante El Malware identifica los archivos a cifrar Elementos de Office Imágenes entre otros Correos electrónicos Inicia el proceso de cifrado de datos, hoy comúnmente utilizando 2048 bits El Malware notifica a la víctima de la situación y pide el rescate. El delincuente espera por el pago, en medios poco rastreable, para entregar clave Posible envío de clave de desbloqueo desde el delincuente. No hay seguridad de recuperar la información

Algunas Recomendaciones

  1. Tenga siempre respaldo de sus archivos importantes-

  2. Compruebe regularmente que su copia de respaldo funciona.

  3. Desconfíe de los correos de los cibercriminales. Los tres clics son letales. No confíe en nadie. Inclusive sus amigos pueden estar infectados y podrían enviarle mensajes comprometidos.

  4. Verifique las extensiones de los archivos. Los delincuentes usan para infectar (EXE, VBS, SCR, PDF, entre otros).

  5. Mantenga actualizado su sistema operativo (Windows o Mac) y el sistema de antivirus lo más regularmente que pueda. Esto puede mantenerlo bastante protegido del “ransomware”.

  6. Existen herramientas que previenen que este malware tome el control de sus datos, contacte a su proveedor para anticiparse a este problema.

Elaborado por: Cristian Fuentes – Senior Security Advisor Widefense

#RaaS #ransomware

2 visualizaciones