Baja California 275 Condesa, CDMX. México
+(52) 1 55 8662 5278 WhatsApp Empresa
ventas@mezcaleads.us

¿Cómo funciona el ransomware (y sigue siendo una amenaza)?

¿Cómo funciona el ransomware (y sigue siendo una amenaza)?

 

Las amenazas vienen y van, pero una cosa sigue siendo la misma: la capacidad de los delincuentes cibernéticos para adaptarse a las circunstancias. Una breve disminución del interés en el ransomware, ya que los delincuentes centraron su atención en el cryptojacking durante el año anterior, parece haber llegado a su fin, y los ataques de ransomware una vez más se están intensificando.

En esta publicación, explicaremos qué es el ransomware, cómo se propaga, qué tan frecuente es y qué puede hacer para protegerse contra él.

¿Qué es el ransomware?

Como su nombre lo indica, el ransomware es un tipo de malware que exige algún tipo de pago a la víctima para recuperar el control de su computadora y / o datos. Dentro de esa definición amplia, hay algunos giros y vueltas que vale la pena señalar.

Primero, hay variantes con respecto a lo que la víctima está pidiendo a cambio. Por lo general, el atacante encripta los archivos personales en la computadora de la víctima de tal manera que no puedan abrirse a menos que la víctima tenga una clave de descifrado. El acceso a la clave de descifrado es lo que el atacante quiere que pague la víctima.

El cifrado de ransomware también se ha visto en la plataforma móvil, ya que SimpleLocker ha infectado más de 150,000 dispositivos Android.

En otros casos, dependiendo del objetivo, el atacante puede amenazar con dar a conocer o filtrar la información confidencial que se encuentra en el dispositivo de la víctima, dando lugar a los nombres de «filtración» y «doxware» para este tipo de ataque. Eso podría comprometer personalmente las fotos o correos electrónicos, pero lo más probable es que, en el caso de ataques dirigidos contra empresas, se trate de datos que la empresa no querría hacer públicos. Eso podría ser cualquier cosa, desde datos del cliente hasta un guión de película.

En un ataque de filtración ocurrido la semana pasada, los delincuentes atacaron a los desarrolladores y amenazaron con hacer público el código pirateado o «usar de otra manera» la propiedad intelectual del desarrollador si la víctima no pagó el rescate.

El cifrado de ransomware también se ha visto en la plataforma móvil, ya que SimpleLocker ha infectado más de 150,000 dispositivos Android.

En otros casos, dependiendo del objetivo, el atacante puede amenazar con revelar o filtrar la información confidencial que se encuentra en el dispositivo de la víctima, dando lugar a los nombres de «filtrado» y «doxware» para este tipo de ataque. Esto podría comprometer personalmente las fotos o correos electrónicos, pero lo más probable es que, en el caso de ataques dirigidos contra compañías, sean datos que la compañía no querría hacer públicos. Eso podría ser cualquier cosa, desde datos del cliente hasta un guión de película.
Otras formas de ransomware, como el infame malware WinLock de 2010, son una forma de ataque de denegación de servicio, solo en este caso el servicio denegado es el acceso al propio dispositivo de la víctima. Tales ataques de «bloqueo» han encontrado una nueva salida en las plataformas móviles iOS y Android. En los dispositivos de Apple, por ejemplo, la técnica intenta aprovechar las credenciales de iCloud comprometidas para bloquear a los usuarios de sus dispositivos a menos que paguen un rescate.

En el caso más común donde el ransomware ha cifrado los archivos de un usuario, lo que sucede a continuación es una forma de demanda acompañada de una amenaza. Generalmente, pero no siempre, la demanda se presenta en forma de una nota de rescate que aparece en la pantalla. Esto le dice a la víctima lo que ha sucedido, cuánto tienen que pagar y cómo pueden pagar por ello. Las notas de rescate en sí mismas pueden abarcar desde simples archivos de texto con múltiples errores ortográficos y gramaticales hasta diseños gráficos con íconos diseñados para facilitar y alentar los pasos necesarios para el pago:

Rescate de la imagen gráfica de la nota.

En un caso reciente de ransomware dirigido, en lugar de pedir una cantidad fija, los delincuentes optaron por variar la cantidad de rescate dependiendo de la evaluación de su agresor del valor financiero de la víctima.
¿Cómo se propaga el ransomware?

Quizás se pregunte de dónde provienen todos estos ataques de ransomware y cómo llegan a las máquinas de las víctimas.

El ransomware no es especialmente complicado de codificar. Las funciones de cifrado existen de forma nativa tanto en máquinas basadas en Windows como en Unix, como macOS y Linux. Algunos atacantes eligen empaquetar su propio marco de cifrado para evitar que el software AV los detecte, pero hay muchos proyectos de código abierto para que los atacantes puedan elegir. Además, con la aparición de Ransomware-as-a-Service como Cerber RaaS y Shifr Raas, los atacantes pueden simplemente comprar malware para distribuir a las víctimas. Los informes indican que los portales para acceder a este tipo de servicios incluso están abandonando los foros exclusivos de Dark Net para abrir sitios web a los que cualquier hacker puede acceder.

Una vez que un atacante tiene un proyecto de ransomware en la mano, solo tienen que decidir cómo distribuirlo. Al igual que con otras formas de malware, los vectores de infección típicos dependen de las víctimas de la ingeniería social para descargar un archivo infectado desde un sitio web o mediante un correo electrónico de suplantación de identidad. A menudo, se usa un archivo adjunto de MS Office o un archivo PDF malicioso que, cuando se abre, ejecuta un código oculto que, a su vez, descarga la carga útil del malware. En otros casos, el ransomware podría ser la carga útil entregada por un script en un sitio web creado con fines maliciosos o descargado por un instalador de software falso.

Imagen del instalador de antivirus falso

Es importante tener en cuenta que una vez que la víctima ha abierto el archivo malicioso y dado su autorización, todo lo demás sucede de manera invisible entre bastidores. Es posible que la víctima inocente no sepa durante varios minutos, horas o incluso días que ha estado infectada, dependiendo de cuándo se haya codificado el malware para activar el cifrado y anunciar su presencia.

En el primer caso de ransomware registrado, el programa no se configuró para activarse hasta que la máquina de la víctima se reiniciara 90 veces. El propósito de crear un retraso entre la infección y el cifrado es ayudar a cubrir las pistas del atacante y dificultar a los investigadores de seguridad encontrar el vector de infección. Por lo general, los criminales están en esto por mucho tiempo, y no les importa esperar el día de pago si eso ayuda a asegurar mayores rendimientos.

Sin embargo, no todos los ransomware requieren la interacción del usuario. El ransomware SamSam que prevaleció en 2016 apunta a contraseñas débiles en dispositivos conectados una vez que se estableció en un dispositivo inicial. En un caso reciente, una vulnerabilidad de día cero en el popular Oracle WebLogic Server permitió a los atacantes enviar ransomware directamente a las computadoras y ejecutarse sin ningún tipo de intervención.

 

       
       
       
       
       

 

No hay comentarios

Añade tu comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.