El ransomware es un problema de dinero que llega al IoT
Eddy Willem, G Data Evangelist, explica en una ponencia en Aslan por qué el ransomware es tan difícil de detectar y cómo se producen las infecciones.
ASLAN 2017. Llegaba Eddy Willems, Security Evangelist de G Data a Aslan 2017, para hablar de ransomware, que si no es la mayor amenaza de Internet, al menos sí es la más popular, la que está moviendo conciencias, además de un montón de dinero en secuestros.
Porque eso es que lo hace el temido ransomware, secuestrar la información hasta que se pague. Por eso decía Willems que además de ser un problema de tiempo y datos, “el ransomware es un problema de dinero”, de los más de 24,1 millones de dólares pagados a los ciberdelincuentes en 2015, según datos del FBI mostrados por el experto de seguridad de G Data. Se calcula que el año pasado los daños relacionados con el ransomware alcanzaron los mil millones de dólares.
“Muchos creen que el ransomware es un nuevo problema de seguridad”, decía Willems a los asistentes a su conferencia, pero no, la primera muestra de ransomware apareció en el mercado en 1989 cuando durante la conferencia WHO se repartieron 20.000 copias de diskettes infectados. El virus cifraba el disco duro y pedía 189 dólares ingresados en una cuenta en Panamá para solucionar el problema
Lo que sí es cierto es que es un problema volumétrico, por no decir imparable, en el que el error humano tiene mucho que ver. Por eso la segunda parte de la conferencia de Eddy Willems era explicar cómo se produce una infección de ransomware.
Los dos principales vectores de infección, “el modus operandi” son a través del spam y visitando páginas web infectadas. En el primer caso preguntaba Willems a los asistentes por qué se siguen abriendo emails de destinatarios conocidos, en el segundo caso el problema de la inconsistencia de las actualizaciones, de mantener bien parcheados todos los equipos, “porque los exploit kits van a encontrar las vulnerabilidades para explotarlas, para instalar el malware en tu máquina”.
Se refería Willems de manera específica a las invitaciones para contactar por LinkedIn que llegan por correo y deberían ser aceptadas desde la aplicación porque muchas veces no nos damos cuenta de que nos llevan a URL maliciosas.
El hecho de que los ciberdelincuentes pidan el rescate en Bitcoins, una moneda digital muy difícil de rastrear, que anonimicen sus actividades a través de redes como la de TOR, que la comunicación con los servidores de comando y control esté cifrada y sea complicada de detectar, que el ransomware utilice conductas polimórficas que complique su detección o su capacidad para permanecer dormido son algunas de las razones por las que el ransomware es difícil de detectar, explicaba el Security Evangelist de G Data.
El ransomware, por cierto, no sólo es un problema de Windows. Hay muestras de este tipo de amenaza para Mac OS, además de para servidores Linux e incluso para Android.
Llegaba el momento de la gran pregunta: To pay or not to pay?, preguntaba Willems al público para añadir a continuación “Do not Pay”, a pesar de lo cual los datos indican que en el 80% de los casos se opta por pagar “sin ninguna garantía”.
¿El futuro? Pinta mal, la verdad. Porque en los Labs de las empresas de seguridad empiezan a verse muestras que indican que el ransomware puede llegar al mundo conectado, a esa casa conectada que quedaría en manos de los ciberdelincuentes, a ese coche conectado que no arrancará si no se hace un pago. El ransomware llegará al mundo del IoT que para Willems no es el Internet of Things, sino el Internet of the Terror, el Internet of the Trouble.