Radiografía del Ransomware – PARTE 1

Publicado por: Jose Roso

Radiografía del Ransomware (PARTE 1)

En este articulo, abarcaremos la historia, tipos de ransomware, riesgos para las empresas y lo que todo administrador de sistemas debería tener en cuenta a la hora de asegurar sus datos. Así mismo, precauciones, mejores practicas y como luchar contra el ransomware.

Breve reseña histórica

Los ataques que buscan acceder a los datos y a otros valiosos sistemas no son nada nuevo. Sin embargo, lo que sí es nuevo es secuestrar esos datos para pedir un rescate.

La primera manifestación de un virus ramsonware fue creada por un licenciado en Hardward (Joseph L. Popp, 1989) y distribuida en el formato de disquete a los asistentes de la conferencia sobre SIDA de la Organización Mundial de la Salud. Se trataba de un troyano que manejaba criptografia simétrica, sin embargo, pronto se encontrarían herramientas de descrifrado que lograban recuperar su afectación.

En 2006, otra variante llamada TROJ_CRYZIP.A, atacaba maquinas basadas en Windows 98, Me, NT, 2000, XP y Server 2003. Básicamente movía determinado tipo de archivos a una carpeta comprimida protegida por contraseña y borraba los originales. Para que la victima pudiera recuperar sus archivos tenia que pagar a una cuenta E-Gold (precursora de las cryptomonedas).

Tipos de ataques de Ransomware

Las dos (2) versiones mas comunes son las siguientes:

Locker ransomware (computer locker): Niega el acceso a la computadora o dispositivo. Se hace pasar por un cuerpo de seguridad e intenta confundir a la victima acusándola de violación de derechos de autor, pornografía ilegal, etc; para reclamar el pago por concepto de algún tipo de sanción.

Crypto ransomware (data locker): Impide el acceso a los archivos o datos. Su primera variación “Cryptolocker” utiliza una técnica de cifrado prácticamente imposible de descifrar para el bloqueo de archivos, carpetas y repositorio de usuarios. Cryptolocker se basa en técnicas de ingeniería social para engañar a posibles objetivos a fin de que lo ejecuten. Se estiman ganancias superiores a los 120 millones de dolares en solo seis meses, por este tipo de ataque.

Otra variación, “Crypjoker” fue descubierta en 2016. Este ransomware usa el algoritmo AES-256 para cifrar los archivos de la victima, solicitando posteriormente un rescate para su liberación. Cryptojoker afecta equipos que ejecutan los sistemas operativos Microsoft Windows. Usualmente el ataque de este ransomware empieza con un email de phishing y un archivo PDF. Si los destinatarios del correo electrónico abren el archivo, se da inicio a la descarga y posterior ejecución de ataque. Tras cifrar los archivos, le añade “.crjoker” a sus extensiones.

Otras variaciones adicionales son, por ejemplo: Onion que utiliza la red Tor para evitar su detección; KeRanger, perfectamente dirigidos a usuarios de Mac, WannaCry, entre otros.

En la próxima entrega:

  • Que depara el futuro con ransomware
  • Algunas medidas que todo administrador de sistemas debería saber
  • BONUS: La regla 3-2-1 del backup
  • BONUS: Proteja su entorno