Todo sobre Ransomware

Guía básica y preguntas frecuentes

En vista de los recientes casos de secuestros de archivos que ocurrieron, y comenzando a pensar que se tratan de una nueva tendencia en aumento, hemos decidido responder algunas preguntas básicas y repasar algunos ataques para entender mejor de qué se trata y ayudarte a saber todo sobre ransomware.

¿Qué es el ransomware?

El ransomware (secuestro de información) es el término genérico para referirse a todo tipo de software malicioso que le exige al usuario del equipo el pago de un rescate.

¿De qué forma puede infectarse mi equipo con un ransomware como Cryptolocker?

Un método típico de infección es abrir el archivo adjunto de un correo electrónico no solicitado o hacer clic en un vínculo que asegura provenir del banco o de una empresa de mensajería. También encontramos versiones de Cryptolocker que se distribuyeron a través de redes peer-to-peer (P2P) para compartir archivos, haciéndose pasar por claves de activación para programas populares de software como Adobe Photoshop y Microsoft Office.

Si el equipo se infecta, Cryptolocker busca una amplia gama de tipos de archivos para cifrar y, una vez que terminó el trabajo sucio, muestra un mensaje donde exige que hagas una transferencia electrónica para descifrar los archivos, como se ve a continuación:

En algunos casos, la pantalla de bloqueo también incluye la transmisión en vivo de lo que la cámara web del equipo está viendo en ese momento, como muestra la siguiente captura:

ransomware

Es inquietante verse inesperadamente a uno mismo sentado frente al equipo, y puede ayudar a hacerles creer a los usuarios con menos conocimientos técnicos que realmente están siendo observados por las autoridades.

El scareware, ¿qué es?

El scareware (programas intimidatorios) es un software que intenta asustarte y engañarte para que tomes un curso de acción determinado. El más común es el que se hace pasar por un producto antivirus que muestra una advertencia sobre problemas de seguridad presentes en el equipo o smartphone, en un intento de engañarte para que les pagues a los estafadores o para que sigas descargando más códigos peligrosos desde la red.

En algunos casos, el falso antivirus se presenta bajo el nombre de una empresa de seguridad genuina con el objetivo de que se incremente la cantidad de personas que caen en el engaño y toman una mala decisión. Observemos la siguiente imagen:

 

scareware

Al igual que el ransomware, el scareware puede estar escrito para cualquier sistema operativo. Irónicamente, algunas instancias del tipo falso antivirus tienen una interfaz de usuario mucho más impactante que la del producto legítimo que están tratando de imitar.

En el caso de algunos tipos de scareware con desarrollo más siniestro, cuando no logran asustarte para que hagas una compra insensata, recurren a tácticas de ransomware y exigen el pago de una suma bajo una amenaza más evidente.

¿Qué pasa si mi equipo se infecta con ransomware y no quiero pagar el rescate?

En la mayoría de los ataques, hay una fecha límite para realizar el pago: si no pagas a tiempo, podrías perder el acceso a los archivos en forma permanente.

¿El de cifrado de archivos es el único tipo de ransomware?

No, también existe el ransomware de pantalla de bloqueo, que bloquea el equipo e impide que lo uses hasta haber pagado el rescate. Este malware a veces usa trucos psicológicos para engañarte y apresurarte a pagar.

Por ejemplo, a veces, el mensaje de la pantalla de bloqueo se hace pasar por un aviso de la fuerza de policía nacional donde se indica que las autoridades demandan el pago de una multa porque encontraron en tu equipo imágenes de abuso a menores o de zoofilia, evidencia de haber visitado sitios web ilegales, o software pirata.


Reveton
 es una de las familias encontradas con mayor frecuencia del tipo de ransomware que bloquea los equipos de los usuarios y muestra un mensaje supuestamente proveniente de las autoridades.

¿Y la gente termina pagando el rescate?

Sí. En muchos casos lo pagan. Imagina qué pasaría si no tuvieras una copia de seguridad (backup) verificada desde la cual pudieras restaurar tus archivos confidenciales o corporativos… probablemente termines pensando que vale la pena gastar algunos dólares para recuperar el acceso a los datos.

A los usuarios corporativos quizás no les preocupe demasiado el malware de pantalla de bloqueo; después de todo, con suerte tienen copias de seguridad y acceso a otros equipos de hardware. Pero es fácil imaginar a los usuarios domésticos, intimidados por las falsas amenazas de la policía o la mención de imágenes de abuso a menores, finalmente pagando el rescate en vez de llevar el equipo a la tienda local de reparación de computadoras.

Al pagar el rescate, ¿se descifran los datos?

Sí, en general se restaura el acceso a los datos. Si pensamos en ello, los criminales tienen un buen sentido común comercial. Si se corriera la voz de que los atacantes no mantienen su lado del acuerdo, la gente nunca pagaría el rescate.

No obstante, el pago del rescate no significa que vas a estar fuera de peligro. Los criminales pueden dejar malware en el equipo y ahora saben que eres el tipo de persona dispuesta a pagar dinero en efectivo para recuperar el acceso al equipo o a los datos. En resumen, podrías volver a ser el objetivo de otro ataque futuro.

Entonces, si soy víctima de un ataque de ransomware, ¿tendría que pagar el rescate?

No lo recomendamos. Recuerda: no hay forma de evitar que los atacantes te exijan el pago de más dinero. Si pagas el rescate estás ayudando a crear un nuevo mercado para los cibercriminales, lo que puede conducir a más ataques cibernéticos de ransomware y de otros tipos en el futuro.

En lugar de pagar, aprende la lección: obtén una mejor protección y asegúrate de llevar a cabo un régimen apropiado de creación de copias de seguridad para recuperar tus archivos esenciales en caso de tener la mala suerte de que te vuelvan a atacar.

¿Mi antivirus no puede simplemente quitar la infección de ransomware?

Sí, en la mayoría de los casos, un buen software de seguridad tendría que ser capaz de quitar el ransomware del equipo. Pero ahí no se termina el problema, porque si era un filecoder, los archivos seguirán cifrados. El software de seguridad puede llegar a descifrar la información confidencial si se utilizó un filecoder básico en el ataque, pero los archivos que fueron atacados por un tipo más sofisticado de ransomware como Cryptolocker son imposibles de descifrar sin la clave correcta.

Por eso, la mejor medicina es la prevención.

Entonces, ¿los filecoders que cifran tus archivos confidenciales son peores que el malware de pantalla de bloqueo?

Sí. En la mayoría de las situaciones, la recuperación es más difícil en ataques de ransomware de cifrado de archivos que en otros tipos. Sin embargo, si tienes una copia de seguridad que no fue alcanzada por el ataque, no será muy difícil volver a dejar todo listo y funcionando rápidamente.

Para ser franco, el peor tipo de malware siempre es el que infectó tu equipo.

¿La cantidad de ransomware de tipo filecoder va en aumento?

Probablemente ya hayas adivinado la respuesta a esta pregunta… sí. Los investigadores de ESET están encontrando cada vez más cantidad de malware de cifrado de archivos y durante el último año el crecimiento fue constante.

¿Qué sistemas operativos fueron el objetivo?

En teoría, no hay nada que detenga a los cibercriminales para escribir ransomware dirigido a cualquier sistema operativo, pero la mayoría de los ataques fueron dirigidos a usuarios de Windows. Cryptolocker, por ejemplo, solo se encontró para esa plataforma.

No obstante, hace poco, los investigadores de ESET detectaron a Android/Simplocker, el primer troyano de cifrado de archivos que les exige a los usuarios de Android el pago de un rescate mediante un centro de control oculto en la red de anonimato Tor.

Está claro que las cosas se están poniendo cada vez más sofisticadas en el mundo del ransomware, incluso para smartphones.

¿Es decir que los smartphones también podrían estar en riesgo?

Correcto. Sin duda, la amenaza de malware es mucho menor en dispositivos iOS (incluso los liberados) que en Android. Recuerda que hace poco publicamos una guía que explica cómo mantener tu dispositivo Android a salvo del ransomware.

Si bien la implementación del cifrado en casos como Simplocker es bastante tosca comparada con otros malware para PC como Cryptolocker, puede igualmente destruir archivos. Lo único que no debes hacer es pagar, recomienda Lipovský: “El malware es capaz de cifrar los archivos de un usuario, los cuales se podrían perder si la llave de descifrado no es proveída. Si bien posee la capacidad de descifrar los archivos, recomendamos no hacer el pago – no sólo porque esto motivaría a otros cibercriminales a continuar con este tipo de operaciones, sino también porque no hay garantía de que el atacante cumpla su parte del trato y realmente devuelva los archivos”.

Recomendaciones:

A raíz de los acontecimientos del ransomware propagado el viernes pasado (WannaCry) el cual aprovecha una vulnerabilidad de carpetas compartidas (que por cierto la NSA aprovechaba hasta que el grupo ShadowBrokers los puso en evidencia), el Instituto Nacional de Ciberseguridad de españa (Incibe) realiza las siguientes recomendaciones para evitar ser afectado:

  • Actualizar los equipos con los últimos parches de seguridad publicados por el fabricante.
  • No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables, ni contestar a este tipo de correos.
  • Precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.
  • Disponer de herramientas de protección adecuadas tales como antivirus/antimalware y cortafuegos.
  • Realizar copias de seguridad periódicas de nuestra información, principalmente la más sensible o importante de nuestros dispositivos.
  • No publicar el puerto de Escritorio remoto y el puerto de Samba a través de una IP pública. Para estos usos es mejor realizar una conexión VPN y luego si acceder al servicio.

Si quieren conocer un poco más sobre WannaCry les incluyo un artículo del blog de ESET (welivesecurity.com): https://www.welivesecurity.com/la-es/2017/05/12/wannacry-ransomware-nivel-global/