La anatomía del ransomware Cryptolocker

El concepto de mantener sus datos para el rescate es nuevo, puesto millones de dólares han sido recaudados por ciberdelincuentes en todo el mundo debido a la pérdida de información. Los métodos tradicionales, que normalmente incluyen la violación de la capa de seguridad, la penetración del sistema, su control y la venta de los datos, se elimina para dar paso al cifrado de los datos.

El modo de operar de los hackers es seleccionar los archivos de las unidades asignadas, extraíbles e instaladas localmente, las enumeran y ciertos archivos se cifran (como archivos tipo Office, PDF, CSV, etc.). La clave de estos archivos cifrados será manejada, obviamente,  por los atacantes y la víctima es coaccionada para pagar un rescate a cambio de su información.

Los ataques suelen tener tres fases. La primera parte es la visita por parte del usuario hacia el sitio comprometido o un archivo que tenga un exploit kit- ya sea Angler o Nuclear, que redirige a las víctimas para descargar un malware. Posteriormente, el malware se ejecuta y cifra los archivos. Y, por último, le aparecerán a la víctima notas de rescate en cada carpeta donde trate acceder.

Ante este panorama, el usuario tiene cuatro opciones:

  1. Pagar el rescate
  2. Restaurar todos sus archivos desde la copia de seguridad
  3. Perder los archivos
  4. Utilizar la «fuerza bruta» y programar una especie de llave

Si la víctima acepta pagar, el atacante por lo general exige el pago promedio entre 500 a 700$, usando Bitcoin. El valor del rescate  dependerá del número de archivos cifrados. Y si la víctima no paga dentro del tiempo solicitado, el rescate se duplica o se triplica.

¿Cómo sucede?

El correo electrónico sigue siendo el punto vulnerable y generador de los ataques. Los documentos maliciosos comunes son documentos de oficina y descargas drive-by, que se envían a las víctimas a modo de supuestas facturas o comunicaciones oficiales. Cuando se abre aún no ha ocurrido el delito, el usuario debe abrir otro documento para obtener instrucciones para habilitar el malware. Una vez que el usuario sigue los pasos, se ejecuta la macro, se entrega la carga útil, y la infección comenzará. Normalmente, el nombre del archivo real-.docm-está enmascarado con la extensión .doc. El sombreado de dominio es otra forma de infectar a los usuarios. El malware real se entrega desde un subdominio generado aleatoriamente de un dominio legítimo. Implica comprometer la cuenta DNS de un dominio y registrar varios subdominios y, a continuación, usarlos para ataques.

Este éxito financiero probablemente ha llevado a una proliferación de variantes ransomware. En 2013, se introdujeron extensiones más destructivas y lucrativas variantes del ransomware, incluyendo Xorist, CryptorBit, y CryptoLocker. A principios de 2016, una variante destructiva ransomware, Locky, se observó infectando computadoras pertenecientes a centros de salud y hospitales en los Estados Unidos, Nueva Zelanda, y Alemania.

¿Cuál es la solución?

La adopción de un enfoque multicapa para la seguridad informática minimizará la posibilidad de infección. Symantec tiene una estrategia que protege contra ransomware en tres etapas:

1.- Prevenir: Prevenir los ataques es la mejor medida. Sabiendo que el correo electrónico es el vector de infección más común para ransomware, la adopción de una defensa robusta en cuanto al filtrado de correos spam reducirá cualquier evento injustificado. Para ello cuenta con Net4Email, una herramienta que potenciará sus comunicaciones corporativas tanto por su alto nivel de seguridad, tanto por la amplia variedad de opciones en cuanto a funcionalidad que ofrece. Lea más sobe nuestro servicio: https://netquatro.com/correo-electronico-corporativo/

Asimismo, respaldar sus datos regularmente es otra opción vital. Y la nube de almacenamiento llegó para servir de mecanismo de blindaje de la información automático. Net4Cloud es la nube a su alcance, una herramienta indicada para resguardar sus activos digitales https://netquatro.com/almacenamiento-en-la-nube/

2.- Contener: – En caso de infección, la acción inminente a realizar es contener su propagación. El software antivirus y un emulador  sirven de «muro de contención» para evitar que el virus afecte a todo el sistema.

3.- Responder: Determinar el ataque principal para entender la intención del atacante es esencial. En muchos casos, el escritor del malware deja las lagunas desatendidas, por lo que un analista de malware puede realizar ingeniería inversa del ransomware y encontrar una manera de recuperar los datos.

Comparte en tus redes preferidas

Facebook
Twitter
LinkedIn
WhatsApp

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *