Ransomware: el criminal viaja escondido en el vagón de cola
Antonio Martínez Algora, Responsable Técnico de Stormshield Iberia, hace un recorrido por los seis ejemplos más recientes de ransomware, explicando cómo combatirlos.
La ola de ransomware que inunda los ordenadores en todo el mundo podría trastocar muchas políticas de seguridad empresariales. Estos ataques aumentan a diario en número y virulencia, y la previsión sobre su evolución es mucho más que sombría.
A continuación, seis ejemplos recientes de ransomware, cómo funcionan y, lo más importante, cómo combatirlos.
¿Qué es el ransomware?
Ransomware es un tipo particular de malware que restringe el acceso a los ordenadores infectados, bloqueando todas o algunas de sus funciones, y exigiendo al usuario el pago de un rescate, por lo general, mediante Bitcoins. El pago no garantiza que el usuario recupere el control de su máquina, ni que acceda a su contenido de manera segura.
Actualmente, existen dos tipos. El más tradicional, “Ransomware de la Policía”, se adhiere al navegador paralizando la máquina completamente. La segunda categoría -probablemente la más dañina y prolífera- responde al nombre de “Ransomware criptográfico” o “Cryptoware”. Este tipo de malware cifra los contenidos del PC, haciendo que resulten ilegibles sin una clave de descifrado, entregada tras el pago de un rescate.
El ransomware infecta los PCs a través de diversos medios: un correo electrónico fraudulento (que contiene un archivo adjunto infectado), un sitio web comprometido o malintencionado, un software instalado desde una fuente no fiable, o a través de las redes sociales, que hacen más fácil la ingeniería social.
El último ransomware en emerger: Nadie está a salvo de Locky
Locky es un tipo de cryptoware que se está extendiendo como un reguero de pólvora por toda Europa, principalmente a través de macros maliciosas incluidas en documentos de Word (adjuntos en correos electrónicos maliciosos). Como resultado, todos los archivos de la estación de trabajo -a veces incluso la red al completo- quedan encriptados.
En el punto de mira desde el pasado mes de febrero, Locky evoluciona semana tras semana, utilizando nuevos métodos de propagación. Algunos grupos, por ejemplo, recurren a personas especializadas en la explotación de fallos de seguridad a los que pagan para propagar el malware. Hacen uso de estas vulnerabilidades -de día cero en particular- para tomar el control de los ordenadores e instalar Locky en ellos.
CTB Locker: un nuevo adversario “a medida”
CTB-Locker es otro ejemplo de cryptoware, cuyo objetivo son todas las versiones de Windows (desde Windows XP). Cuando CTB-Locker accede a un equipo, el malware se introduce en los discos duros y unidades compartidas de red, compilando una lista de archivos para después, moverlos a un archivo cifrado protegido por contraseña.
Su medio de propagación favorito son los mensajes de correo electrónico con trampas explosivas, y sitios web comprometidos o maliciosos. Con el fin de evitar su detección, CTB-Locker integra un mecanismo anti-depuración que le permite identificar las máquinas virtuales utilizadas para analizar y proteger los sistemas. Increíblemente versátil, tiene algunas variantes, como la más reciente -caracterizada por afectar servidores – descubierta por expertos de Stormshield.
TeslaCrypt: el troyano ransomware que esconde sus cartas
TeslaCrypt analiza todas las unidades del equipo, en busca de archivos de datos. A fin de que el ordenador siga funcionando de forma normal, no actúa sobre Windows y sus aplicaciones. Así, el usuario puede acceder a Internet desde su equipo y pagar el rescate.
TeslaCrypt cifra los archivos de datos a través de AES (siglas en inglés de Estándar Avanzado de Encriptación) uno de los algoritmos más robustos. Algunas versiones de este malware se dirigen a los PCs de jugadores online. Principalmente utiliza mensajes de correo electrónico y kits de exploits para infectar los ordenadores.
Petya, incluso más agresivo que Locky
Este ransomware es aún más agresivo que Locky. Además de cifrar los archivos, Petya encripta los primeros sectores del disco del sistema. Como resultado, la máquina sobre la que se centra el ataque queda completamente inoperable.
Si la red se infecta, el equipo queda totalmente inutilizable. El pretexto utilizado para conseguir entrar en los discos duros puede ser, por ejemplo, un CV enviado por correo electrónico al departamento de Recursos Humanos de una empresa.
SamSam desentierra el Hash-check
La característica distintiva de este nuevo cryptoware es la forma en que utiliza una nueva técnica conocida como “Pass the Hash”, la cual, elude los sistemas de autenticación de servidor a fin de acceder a la información confidencial y a las aplicaciones críticas. Una vez que el atacante ha comprometido una estación de trabajo específica, es capaz de extender su control sobre todas las máquinas de una empresa y el sistema de TI al completo. SamSam no puede ser bloqueado por un programa anti-virus.
Cerber, el último dolor de cabeza de la comunidad de seguridad cibernética
Cerber es lo que se conoce como Ransomware Como Servicio (RAAS), una tendencia que empieza a despuntar, volviéndose cada vez más generalizada. Los estafadores pueden comprar el malware y desplegarlo cómo y cuándo deseen. De esta forma, la red cibercriminal ya no se compone únicamente de un pequeño círculo de expertos en programación y escritores de software; el mercado negro de la ciberdelincuencia es un mundo cada vez más fragmentado y complejo.
¿Una nueva generación de “Súper Cryptoware”?
En los próximos meses, es muy probable que veamos un aumento de nuevos tipos de ransomware. De igual forma, cryptoware continuará evolucionando, llegando a ser cada vez más complejo. No obstante, esto es sólo el comienzo; su evolución seguirá llenando titulares próximamente.
Uno de los cambios a tener en cuenta será el auge de medios cada vez más innovadores que el ransomware utilizará para propagarse. Por ejemplo, Locky y Cerber a veces explotan una vulnerabilidad de día cero para difundirse (con un impacto mucho mayor que a través del correo electrónico) Esta tendencia, además, muestra lo increíblemente lucrativo que puede llegar a ser el ransomware, animando a los atacantes a llegar a extremos aún más maliciosos con el fin de obtener el mayor número posible de víctimas. Asimismo, según los perfiles de los piratas se hacen más variados, esta nueva generación de ransomware les ayuda a ser más poderosos.
No, el software anti-virus no es suficiente
Según los piratas diseñan escenarios de ataque cada vez más complejos e inteligentes para difundir malware, un software antivirus no es lo suficientemente eficaz para proteger las estaciones de trabajo. El malware pasa fácilmente por encima del sistema de análisis de firmas, por lo que la identificación proactiva de comportamiento malicioso es indispensable para poder hacer frente a las amenazas conocidas y desconocidas.
En algunos casos -como con Locky- la estación de trabajo no es lo único a salvaguardar cuando se trata de protegerse contra los peligros que el ransomware entraña.
Existen soluciones que impedirán que el malware se ejecute en el equipo y/o evitará que una vulnerabilidad sea explotada (a través de un kit de exploit), un firewall de nueva generación proporcionará un nivel adicional de protección a nivel de servidor.
Así que si su PC termina siendo infectado por Locky, por utilizar un programa antivirus poco efectivo, soluciones más avanzadas evitarán que el ransomware obtenga una clave de cifrado proveniente del servidor de Internet, por lo que no podrá cifrar su documentos. Y si no se puede cifrar sus documentos, no pedirá un rescate.