¿Que es el Ransomware?
Pues con el paso de los años el malware ha ido evolucionando desde ataques sencillos como troyanos que buscaban infectar a la mayoría de equipos para usos posteriores (Proxys, DDoS, etc..) hasta procesos que secuestran nuestros ficheros a cambio de sumas de dinero para recuperarlos y precisamente esto es el Ransomware. Pero vamos a darle unos matices básicos sobre este tipo de malware, segun wikipedia:
Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
Es decir, ya no estamos tratando el típico malware que nos llena el equipo de basura publicitaria (spamware, Adware, etc..) estamos tratando algo muy delicado que «secuestra» literalmente todos los datos almacenados en nuestros equipos a cambio de un pago único cuya cifra es variable dependiendo del sistema infectado, en resumidas cuentas estos cyber-delincuentes solo una cosa: Dinero a sus bolsillos.
¿Como funciona el Ransomware?
El malware al igual que los organismos bacteriales tiene un ciclo de vida, un orden de como realizar las cosas, y en este caso no es la excepción, a continuación les detallo como va el asunto:
Desarrollo
Es la etapa donde se cocina el producto, es donde se diseña y se prepara el trozo de software que cumplirá con los fines maliciosos de sus creadores.
Infección / Propagación
La segunda etapa es propagar el malware, y teniendo en cuenta que el objetivo es lucrarse económicamente de las victimas es lógico pensar que: «mayor cantidad de victimas = mayores ganancias».
Los vectores de infección generalmente siguen siendo los mismos:
a.- Spam / Phishing
b.- Web Kit Exploit
c.- Via otro malware residente.
d.- Servicios RDP usando contraseñas vulnerables a ataques por fuerza bruta.
Ejecución de Ransomware.
Aqui es donde ocurre realmente la magia y es donde el ransomware comenzará solicitando una clave al servidor de control, el cual devolverá una clave RSA única para dicho equipo. Luego de eso realizara un escaneo completo de todas nuestras unidades montadas en nuestro equipos (incluidos recursos de red mapeados) identificando las extensiones de los archivos: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.
Cada archivo identificado será cifrado con una clave única de 256 bits utilizando AES. Dicha clave se cifrará con la clave pública recibida desde el servidor de control. Mediante este sistema se garantiza que, para poder recuperar los ficheros, el usuario ha de obtener la clave privada RSA, la cual nunca sale del servidor de control.
Y es cuando al intentar acceder a algún recurso de nuestro equipo que ya este secuestrado obtenemos una linda ventana como esta:
Ejemplo de solicitud de pago.
A estas alturas ya estamos comprometidos hasta la garganta, tenemos una cuenta regresiva que promete doblar la cifra a menos que esta sea pagada, y es desde el punto donde poco podemos hacer.
El ambiente se complica un poco mas si lo proyectamos a nivel corporativo donde la información es uno de los bienes mas valiosos de una empresa, ya que el software malicioso busca puntos de restauración, unidades de respaldo y equipos conectados para infectarlos también.
Medidas de prevención.
A continuacion una serie de medidas para minimizar el impacto de esta amenaza.
- Realizar copias de respaldo periódicas de todos los datos sensibles, dicha información no debe ser accesible desde el equipo al que se intenta proteger.
- Utilizar VPN (Virtual Private Networking) como método de acceso remoto a determinados servicios. Cierta parte de las infecciones por ransomware se producen a través de servicios de escritorio remoto.
- Establecer listas de accesos (ACL) para que únicamente los equipos autorizados puedan acceder a determinados recursos de red.
- Sonara repetitivo pero es muy importante mantener todo el software actualizado. El navegador, versiones antiguas de Java, Flash o Adobe Acrobat suelen ser algunas de las principales vías de infección en ataques de este tipo.
- Usar aplicaciones de listas blancas, que eviten la ejecución de aplicaciones sin firmar.
- Nuevamente sonara repetitivo, pero se debe evitar dentro de lo posible no usar cuentas con permisos administrativos a no ser que sea estrictamente necesario. La ejecución de cierto malware bajo una cuenta de administrador permite llevar a cabo todo tipo de acciones dañinas en el sistema. Considérese el uso de cuentas limitadas para la gran mayoría de usuarios.
Tal y como dice el titulo esta es una amenaza reciente y en crecimiento debido a la fácil forma de lucrarse económicamente, tan solo en el mes de agosto del 2014 Symantech reporto mas de 68,000 equipos infectados de los cuales se estima fueron pagados cerca de 400,000 dolares.
Lectura recomendada para mas detalles.
Reporte de Ransomware de la CCN
La amenza del ransomware by Symantec
Esto es todo por ahora queridos blogueros y si te ha gustado comparte.
Ciberseguridad Comprensible 