Go to Top

Todo lo que necesitas saber sobre ataques de ransomware

2016 fue el año de los chantajes ransomware. El ransomware consiste en programas maliciosos que se introducen ilegalmente en un sistema infectado y encriptan sus datos, convirtiéndolo así en inoperativo. Los datos se desencriptan y vuelven a ser accesibles solo tras el pago de un “rescate”.

Primero, un poco de historia sobre el ransomware

Este tipo de chantaje no es nuevo. Años atrás, en 1989, el troyano “AIDS.exe” ya escondía archivos y los convertía en inutilizables. El programa solo cambiaba los nombres de los archivos, pero el contenido se mantenía intacto. Este proceso se alteró en 2008, cuando los programas maliciosos comenzaron a encriptar el contenido de los archivos: sin la clave correcta, los datos no podían “rescatarse”. El problema era (como pasa en los secuestros “reales”) la entrega del rescate, aspecto que cambió también en 2013. Con Bitcoin como forma de pago, el flujo monetario dejaba de ser localizable y la propagación de software malicioso ya no podía detenerse.

El malware se propagaba con la ayuda de banners y sitios web publicitarios contaminados. También se utilizaban archivos adjuntos a correos electrónicos, así como el clásico método del lápiz USB “perdido” en aparcamientos o aseos públicos que contenía un programa malicioso que infectaba el ordenador en el que se insertaba.

Ha pasado algún tiempo y los programas son ahora más sofisticados, al igual que lo es también la selección de víctimas. Mientras que en el pasado se tendía a priorizar la cantidad (muchas víctimas con rescates bajos daban igual a sumas importantes de dinero), hoy en día los blancos de los ataques son los medios y altos cargos de la administración. Con la asistencia del Spear-Phishing se espía y se ataca a los directores generales de forma directa. Los correos electrónicos están redactados de tal manera que el destinatario da por hecho que provienen de una persona de confianza y de alto rango, normalmente de la misma compañía. Tras abrir el archivo adjunto, se solicita a la víctima que haga clic en un enlace, el cual inicia una acción más compleja en segundo plano. Es entonces cuando se carga y se activa el malware.

Evolución de los ataques de ransomware

Tras la instalación, el programa se pone en contacto con uno o más de los llamados servidores de comando y control (C&C). En ellos se cargan al ordenador infectado las herramientas de hackeo más modernas que anidan en el sistema y aseguran que, incluso en caso de desconexión inmediata de la red (que podría inhibir el encriptado de los datos si se tratara de software malicioso antiguo), el programa continuará ejecutándose después del reinicio.

Una parte del malware anida dentro de la carpeta de inicio automático, mientras que otra parte “se encarga” del registro. Los subprogramas intentan introducirse en la red de la compañía, lo que puede aumentar las probabilidades de éxito, ya que las víctimas en cuestión tienden a disponer de derechos de acceso superiores a los de los empleados “normales”. Es fácil imaginarse lo que esto significa si tales programas consiguen expandirse por la red de la compañía.

El software de chantaje moderno está específicamente diseñado para atacar los medios de copia de seguridad, que se han convertido en los blancos principales porque gracias a las copias de seguridad actualizadas puede encontrarse solución a la mayoría de los problemas causados por los ataques de ransomware. Por tanto, el software de malware actual trata de asegurarse que incluso los archivos almacenados en un dispositivo de copia de seguridad se convierten en inutilizables.

Lo que se oculta detrás

Todo esto ocurre en segundo plano. Antes de que se complete el proceso de infiltración, no existe ni la mínima sospecha del peligro acechante.

 

Una vez realizados los preparativos, los datos se encriptan y la pantalla del ordenador infectado muestra el mensaje en el que se exige un rescate. La suma se calcula a partir de la información contable de las ventas de la compañía y a menudo es una cifra de cinco o seis dígitos.

Los índices de éxito son alarmantes. Una encuesta realizada por Osterman Research en Estados Unidos, Canadá, el Reino Unido y Alemania, revela que, de las 540 compañías entrevistadas, con una media de 5,400 empleados cada una, casi el 40% había sufrido problemas de ransomware. De este 40%, más de un tercio había sufrido pérdidas en las ventas y un 20% se vio arruinado a consecuencia de pérdidas de datos.

Si te interesa una descripción más detallada del proceso de un ataque perpetrado con el programa de chantaje más peligroso y actual, CryptoWall 3.0 (CW3), en sentinelone.com encontrarás un curso online. El artículo, no obstante, es muy técnico y está orientado a lectores expertos en la materia.

Copyright de la imagen: Markus Spiske raumrot.com/www.pexels.com/ licencia CC0

, , , , , , ,

Deja un comentario