Ataques con ransomware
Dada a la conectividad con la que cuentan todos los dispositivos actualmente los ataques ransomware son cada vez más comunes. La tecnología avanza a diario, y también lo hacen las tácticas de los ciberdelincuentes. Es por ello que conocer sobre los distintos riesgos a los que se está expuesto en internet permite saber cómo protegerse.
¿Qué es el ransomware?
El nombre ransomware deriva de la unión de otros dos términos. El primero es “ransom” que en ingles significa “rescate” y “ware” que es un diminutivo de software. Aunque también es conocido por otras traducciones menos lineales como “software de secuestro de datos” o “programa de secuestro”.
Este archivo una vez que se encuentra en algún dispositivo se encarga de cifrar el equipo parcial o totalmente. Esto impide al usuario acceder a sus datos o al equipo en su totalidad. Para desencriptar estos archivos los criminales le solicitarán al afectado un pago.
En sus orígenes, para el pago del “rescate” el perjudicado debía enviar el dinero por correo. Sin embargo, dada la evolución de las tecnologías esto actualmente es una alternativa obsoleta. Se suele optar por criptomonedas, tarjetas de crédito o algún método de pago virtual porque estos suelen ser más difíciles (o imposibles en algunos casos) de rastrear.
¿Cómo funciona el ransomware?
Para infectar un equipo los ataques ransomware se aprovechan de la confianza del objetivo en algún archivo. Pueden ser adjuntos de correo, programas que se consideran confiables, videos o música. Una vez el usuario ha descargado estos el malware se ejecuta y comienza a codificar la información de la víctima. Estos programas también pueden introducirse mediante un dispositivo externo infectado.
Tras haberse realizado el cifrado aparecerá la advertencia donde se indica lo que ha ocurrido con el equipo. En un ataque convencional se indicará que el equipo ha sido secuestrado y se señalará el método de pago. Esto puede tener ciertas variantes en función del tipo de virus. También podría mostrarse información personal del usuario, alguna foto captada por la cámara web o la dirección IP.
Tipos de ransomware
Los ataques ransomware son diversos. Conceptualmente son iguales pero a efectos prácticos hay múltiples variantes. Cada uno opera de una forma distinta y se aprovecha de distintas vulnerabilidades. En función del objetivo de los atacantes el virus puede proceder de distintos modos. Estos son algunos de los más comunes:
Locky
Es uno de los tipos de ataque más recientes, siendo su primer uso conocido en 2016. Accede al equipo a través del correo electrónico por medio de los archivos adjuntos en una técnica conocida como “phishing”, la cual consiste en engañar a los usuarios para que estos voluntariamente instalen el programa.
Tras instalarse el programa puede codificar más de 150 tipos de archivos distintos. Entre los cuales se encuentran documentos utilizados por profesionales en distintas ramas. De manera que no solo puede afectar información personal que se encuentre en el equipo sino el trabajo de los perjudicados.
Bad Rabbit
Estos ataques ransomware se aprovechan de la confiabilidad de los usuarios en un sitio web para instalarse. Fue identificado por primera vez en 2017 y se ejecuta gracias a una técnica conocida como “drive- by”. Esto consiste en la adulteración de una página web para que quienes ingresen sean infectados por el virus.
Una vez en el portal los usuarios son afectados al intentar descargar un ejecutable. En sus ataques más conocidos el bad rabbit requería de la instalación de adobe flash player. Aunque al acceder no se instalaba el programa: en cambio, se introducía el ransomware. Cuando el archivo malicioso es disfrazado de esta manera se conoce como “dropper”.
Petya
Conocido en 2016 este tipo de malware posteriormente evolucionó tras su primera oleada de ataques. Para infectar equipos se envía por medio de un correo electrónico adjuntando un enlace para descargar. En sus primeros ataques se enfocaba en compañías camuflándose en CVs de supuestos candidatos.
Con el archivo descargado este se instalaba rápidamente, bloqueando por completo el equipo afectado. Para lograr esto el programa se encarga de codificar la “Master File Table». De manera que ni los archivos ni el dispositivo en su totalidad se puede utilizar hasta no pagar el rescate.
GoldenEye
Es el sucesor de Petya y uno de los ataques ransomware con un impacto más notable en los últimos años. Opera de una forma similar a su predecesor, accediendo a los equipos por medio de correos.
Sin embargo, en esta versión evolucionada del malware el alcance en 2017 fue mucho mayor, perjudicando a más de 2000 grandes empresas, productoras de petróleo, centrales de energía, empresas y bancos. Por lo que su impacto no solo fue notorio económicamente sino que puso en riesgo múltiples vidas al bloquear equipos de trabajo.
Reveton
Identificado en 2012, los ataques ransomware causados por Reveton fueron muy conocidos. El virus podía acceder al equipo de múltiples formas pero una vez instalado se comportaba igual. A diferencia de otros programas este se encuentra basado en el mecanismo de acción de un troyano. Su modus operandi consistía en bloquear el equipo en su totalidad.
El objetivo de este malware era hacer creer al afectado que había sido multado por alguna entidad gubernamental. Para lo cual, tras bloquear el equipo, se mostraba una advertencia señalándole algún cargo. Para la exoneración del mismo este era obligado a pagar una multa usando un mecanismo de pago anónimo. En ciertas variantes se podía mostrar información personal, la dirección IP y la imagen de la cámara web.
CryptoLocker
La última reaparición de este virus fue identificada en 2013. Este ransomware una vez en el ordenador solicitaba el pago de 1 bitcoin en 3 días. Si este no era realizado la cifra subía drásticamente a 10 bitcoins. En el momento donde se realizaron estos crímenes la criptomoneda costaba menos de un cuarto de lo que vale ahora.
Para el cifrado de los datos se usaba un método de cifrado que requería de dos claves de 2048-bit de tipo RSA, que son muy complejas, por lo que corregir esta infección resultaba difícil sin el pago. Sin embargo, en 2014 fue desmantelada la banda que se encargaba de esto y con ellos el virus.
CryptoWall
La serie de ataques ransomware utilizando el virus “cryptowall” afectó a miles de usuarios en el 2014. El archivo infectaba equipos a través de correos electrónicos suplantando la identidad de un ente confiable.
Una vez en el equipo les era solicitado a los usuarios cantidades de alrededor de 1000$. Funciona mediante un mecanismo conocido como “software de explotación”. Aunque en sus versiones iniciales el virus contaba con un error este ha seguido actualizándose.
TeslaCrypt
Fue un ransomware que perjudicó a múltiples usuarios en el 2015. Pedía rescates de más de 500$ y podía acceder al equipo a través de correos o webs infectadas. Sin embargo, actualmente se considera como eliminado u obsoleto, ya que la clave del cifrado se ha hecho pública. Además algunos programas incluyen herramientas para corregir este problema siendo la de ESET la más conocida.
Mamba
Este es uno de los tipos de ataques ransomware que se encuentran funcionales actualmente. Es súmamente peligroso, eficaz y difícil de reparar una vez infecta un equipo. Ha sido identificado recientemente en 2017 por autoridades brasileñas.
Mamba utiliza un mecanismo de encriptación completa del disco, lo cual por sí mismo representa una complicación debido a que no solo impide el acceso a la información. Tras ser completamente instalado es imposible incluso iniciar el sistema operativo sin pagar el rescate. Para obtener la clave de desbloqueo se suministra una dirección de correo para contactar con los atacantes.
WannaCry
El software WannnaCry puede infectar equipos móviles y ordenadores rápidamente. Fue identificado en 2017 tras haber infectado a más de 70 mil equipos de distintas empresas. Las víctimas se encontraban en Asia, Europa y Norteamerica, siendo su objetivo compañías grandes.
Para el pago se indicaba una cantidad exacta junto al tiempo que se tenía para pagarlo. Si las condiciones no se cumplían, no sería posible acceder a los archivos. Una particularidad de este virus es que podía esparcirse por una red local. De manera que un dispositivo afectado era el enlace para todos los equipos conectados a la red.
¿Cómo prevenir y eliminar el ransomware?
Los ataques ransomware no son una infección de la que sea fácil recuperarse, por lo que siempre se recomienda estar precavidos ante esta, ya que es más fácil que eliminarla. Si has sido víctima de un malware de este tipo, no debes pagar el rescate. En cambio, la opción más prudente es ponerse en contacto con una compañía de seguridad. Esta puede dar con una solución, que en la mayoría de casos es más económica.
Para evitar este tipo de inconvenientes es necesario informarse. Organizaciones como No More Ransom ofrecen información y ayuda para las víctimas. También es importante contar con mecanismos de protección en cada dispositivo. Los Firewall son la primera defensa que se puede tener contra los ransomware. Luego un antivirus e incluso optar por programas diseñados únicamente para prevenir este tipo de ataques.