20 JUN 2018

Ciberdelito y ransomwares: características y riesgos de los ataques con rescate (parte I)

Ransomware se refiere a una categoría sofisticada de malwares que infecta sistemas fijos y móviles y limita el acceso a los propietarios legítimos. Para recuperar el acceso a los documentos, el usuario debe pagar un rescate (del inglés ransom = rescate).

Hay principalmente dos tipos de ransomwares en circulación:

  • los lockers ransomwares: son las primeras versiones distribuidas: bloquean a la víctima fuera del sistema operativo y le impiden el acceso al escritorio y a cualquier aplicación o archivo. Los archivos no están cifrados, pero los hackers piden un rescate para desbloquear el ordenador infectado. Algunos ejemplos incluyen ransomwares que se hacen pasar por organizaciones policiales (por ejemplo, FBI, Metropolitan British Police y similares) o Winlockers. Algunas versiones de los cryptolockers infectan directamente el Registro de arranque principal, la sección del disco duro que le permite el inicio al sistema operativo. Cuando un ransomware golpea el registro de arranque principal, el proceso de arranque no se completa y aparece una pantalla de solicitud de rescate. Algunos ejemplos de ransomwares de este tipo son Satanás y Petya;
  • los Encrypting ransomwares: incorporan algoritmos de cifrado avanzados y están diseñados para cifrar y por eso bloquear archivos en el sistema y solicitar el pago del rescate para abastecer a la víctima la clave que le permite descifrar el contenido bloqueado. Algunos ejemplos incluyen: CryptoLocker, Locky, CrytpoWall. WannaCry pertenece a esta categoría y es particularmente sofisticado porque explotó una vulnerabilidad de Windows descubierta por la NSA estadounidense y divulgada públicamente a todo el mundo por el grupo de hackers The Shadow Brokers (TSB). WannaCry golpeó el 12 de mayo de 2017 e infectó en pocas horas más o menos 200.000 máquinas en todo el mundo, incluidas las de las grandes organizaciones.

La difusión de los ransomwares ocurre principalmente por correos electrónicos de phishing con adjuntos maliciosos o por enlaces a sitios maliciosos desde los cuales se descarga el malware sin que el usuario se dé cuenta.

¿Por qué los ataques de ransomwares aumentan constantemente?

Los ataques de ransomwares son técnicamente eficaces y aprovechan de la psicología de las víctimas a través del miedo alimentado por mensajes intimidantes de destrucción o la negación irreversible del acceso a los datos o al sistema.

En particular, las características que hacen un ataque de ransomwares “exitoso” son:

  • los ransomwares tienen un cifrado robusto, lo que significa que solos no se pueden descifrar los archivos;
  • tienen la capacidad de cifrar todo los tipo de archivos, desde documentos a imágenes, videos, archivos de audio y otras cosas que un usuario pueda tener en su PC;
  • son capaces de cifrar los nombres de los archivos, por eso no es posible saber qué datos se han visto afectados. Este es uno de los trucos de ingeniería social utilizados para confundir y obligar a las víctimas a pagar el rescate;
  • mostran una pantalla o un mensaje que le permite al usuario saber que sus datos han sido  cifrados y que debe pagar una cantidad de dinero específica para recuperarlos;
  • requieren los pagos en bitcoin porque esta criptomoneda permite sustancialmente el anonimato;
  • los pagos de rescate, generalmente, tienen un límite de tiempo, para aumentar el nivel de vínculo psicológico a la extorsión. En la mayoría de los casos si se supera este plazo, el rescate aumentará, pero también esto puede significar que los datos se destruirán y se perderán para siempre. Solo el 42% de las víctimas que pagó el rescate recuperó sus datos;
  • usan un complejo juego de técnicas de evasión para pasar desapercibidos a los antivirus tradicionales;
  • a menudo reclutan los ordenadores infectados en redes bot, para que los hackers puedan expandir su infraestructura y alimentar futuros ataques;
  • se pueden propagar a otros ordenadores conectados a una red local, creando otros daños;
  • a menudo tienen funcionalidades de extracción de los datos, es decir que también pueden extraer datos del ordenador interesados (nombres de usuario, contraseñas, direcciones de correo electrónico, etc.) y enviarlos a un servidor controlado por hackers, por eso cifrar los documentos no es siempre es el único objectivo;
  • muchas veces las información para el pago están traducidas en el idioma de la víctima, para aumentar las posibilidades de pago del rescate.

La siguiente imagen no es el mapa del metro de algunas ciudades, sino la evolución de las variantes de ransomwares durante 5 años, desde 2012 hasta 2017:

L'evoluzione delle varianti degli attacchi ransomware negli ultimi anni, dal 2012 al 2017

Ataques de ransomwares: diferencias entre ordenadores y dispositivos móviles

En el mundo móvil, no hay los encrypting ransomwares porque las aplicaciones y el sistema operativo hacen copias de los archivos en el cloud. Si los usuarios hacen una copia de seguridad de los archivos, no hay necesidad de pagar un rescate, por eso los ciberdelincuentes no tienen interés en atacar a los usuarios móviles, excepto con el fin de eliminar datos personales contenidos en los dispositivos.

Por otro lado, los lockers (o blockers) representan el 99% de los ransomwares para móviles porque simplemente se superponen a la interfaz de cualquier aplicación y el usuario ya no puede usar las aplicaciones.

 

¿Le ha gustado este artículo?  Sigue leyendo nuestro ahondamiento sobre los ataques de ransomwares.

Elaborado por Lucia D’Adamo, en colaboración con Andrea Petriglia, supervisado por Marco Pirrone

 

Últimas Noticias