Ransomware: Historia de una molesta amenaza

1.348 visualizaciones

Publicado el

En este whitepaper se analizan diversas variantes de ransomware a lo largo de su historia, desde las primeras a finales de los años 80 hasta la actualidad

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.348
En SlideShare
0
De insertados
0
Número de insertados
40
Acciones
Compartido
0
Descargas
41
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Ransomware: Historia de una molesta amenaza

  1. 1. WHITEPAPER RANSOMWARE Historia de una molesta amenaza
  2. 2. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 32 Índice Introducción 4 1. Motivos de su éxito 5 2. Precedentes 6 3. Del“Virus de la policía” a Torrentlocker 7 - 11 3.1 Puntos clave de las pantallas de bloqueo 3.2 El“Virus de la Policía” en España 3.3 El“Virus de la Policía” en el mundo 4. Ransomware orientado a empresas 12 - 20 4.1 Ransomware Anti Child Porn 4.2 Ransomware Filecoder / Cryptolocker 4.3 Ransomware Torrentlocker 4.4 Ransomware VirLock 4.5 CTO Locker 4.6 CryptoFortress 4.7 Teslacrypt 4.8 Alphacrypt y “Los Pollos Hermanos” 4.9 Tox: Ransomware como un servicio 4.10 Cryptowall 5. Ransomware en otros sistemas 21 - 25 5.1 Android 5.2 Mac OS 6. ¿Cómo evitar una infección por ransomware? 25 7. Conclusión 26
  3. 3. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 54 El ransomware es un tipo de código malicioso utilizado por los ciber- criminales que se caracteriza por “secuestrar” los dispositivos de los usuarios, ya sea impidiéndoles el acceso o cifrando los archivos. Para poder volver a tomar el control del sistema y sus documentos, los de- lincuentes demandan el pago de un rescate al usuario, siendo variable la cantidad de la cuantía. Este tipo de ransomware lleva varios años afectando a usuarios de muchos países, aunque su progresión ha ido avanzando y reciente- mente se ha extendido a dispositivos móviles. Introducción El éxito obtenido por este tipo de malware se puede atribuir a los siguientes aspectos: • Propagación efectiva: desde las primeras muestras, los ciberdelincuentes que se esconden detrás de este tipo de amenazas han demostrado una gran capacidad de aprove- chamiento de vulnerabilidades para conseguir maximizar el éxito de la nuevas variantes que iban apareciendo. El uso de agujeros de seguridad en aplicaciones tan extendidas como Java o algunas aplicaciones de Adobe, unido a la distribución de este malware desde páginas web, ha provocado que miles de usuarios se hayan infectado sin haber tenido que ejecutar conscientemente un fichero malicioso. • Adaptación al entorno: los ciberdelincuentes diseñan campañas a medida a la hora de atacar diferentes regiones del mundo. Utilizan imágenes y lenguaje localizado, para ga- narse la confianza del usuario y engañarlo. • Ingeniería social: el uso repetido de mensajes donde se muestra que el sistema ha sido bloqueado por haber realiza- do actividades ilegales, como la descarga de contenido multi- media o pornografía infantil, genera una sensación de miedo entre muchos usuarios, los cuales pagan la falsa multa cuan- to antes. • Criticidad de los datos secuestrados: en el caso del ran- somware orientado a empresas, la necesidad de acceder cuanto antes a los datos secuestrados para poder seguir nor- malmente con la actividad comercial actúa a favor de los de- lincuentes y, en algunos casos, hace que el usuario esté dis- puesto a pagar cantidades elevadas de dinero para recuperar sus datos. 1. Motivos de su éxito
  4. 4. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 76 La creación de códigos maliciosos que impiden el acceso a nuestro sistema y que pueden destruir documentos alojados en él no es algo novedoso. De hecho se pueden ver ejemplos que datan de principios de los 90. Veámos uno de los ejemplos más conocidos de este tipo de malware: 2. Precedentes Casino El virus casino tenía una manera peculiar de interactuar con el usuario. Se activaba en ciertas fechas, aunque la más frecuente era el 15 de abril. Cuando el usuario de un sistema infectado lo iniciaba ese día, el malware copiaba la tabla de asignación de archivos (FAT por sus siglas en inglés) en la memoria RAM y, a continuación, la elimina- ba del disco duro. El usuario veía entonces una pantalla en la que se le ofrecía la posibilidad de recuperar la FAT del sistema si jugaba a una especie de máquina tragaperras. Con solo 5 créditos disponibles, si el usuario era afortunado y conseguía la combinación ganadora, el malware volvía a escribir la tabla de asignación de archivos en el sistema y recuperaba sus documentos. En cambio, si el usuario no tenía tanta suerte o reiniciaba su sistema, la FAT se borraba de la RAM y era imposible recuperar el contenido del disco. 3. Del“Virus de la policía” a Torrentlocker Las primeras muestras de ransomware para sistemas operativos Windows, también conocido en esos primeros momentos como“Virus de la Policía” debido principalmente a que en la mayoría de casos se suplantaba a algún cuerpo de policía de algún país, se detectaron en Alemania en marzo de 2011. 3.1 Puntos claves de las pantallas de bloqueo: En estos primeros casos se pueden observar varios patrones que se repiten en variantes posteriores: • Suplantación de Cuerpos y Fuerzas de Seguridad del Estado: se adaptan a cada país y no tienen por qué limitarse a solo un cuerpo de seguridad. Por ejemplo, en España se usó indistintamente a la Policía Nacional, la Guardia Civil e incluso a unidades especializadas en delitos telemáticos de estos cuerpos como la UIT o el GDT. • Mensaje con los supuestos delitos cometidos: mensaje encargado de convencer a los usuarios infectados de que habían cometido supuestamente un delito y que, por ello, deberían pagar una multa para no ser llevados a juicio. A lo largo del tiempo este mensaje ha ido adaptándose. • Identificación del usuario: para terminar de convencer a la víctima de que estaba siendo investigada por la Po- licía, se proporcionaban datos de su sistema como su dirección IP y su localización. En variantes más avanzadas los delincuentes añadieron la grabación de la víctima usando su cámara web o incluso llegaron a copiar ficheros con contenido pedófilo en el sistema infectado, a fin de realizar una captura de pantalla para ser mostrada al usuario e inculparlo. • Método de pago e instrucciones: debido a que el objetivo final de los delincuentes era conseguir que el usua- rio abonase una cantidad de dinero utilizando sistemas de difícil rastreo, los delincuentes se encargaban de indi- car a la víctima qué medios de pago podía utilizar para pagar el rescate y dónde podía obtenerlos.Además, estos sistemas cambiaban dependiendo del país en el que se encontraba la víctima. • Personalidades, organismos y empresas de confianza: en algunas variantes se llegaba a utilizar varios lo- gotipos de empresas u organismos ligados al mundo de la seguridad informática. Así pues, no era extraño en- contrarnos con los logos de empresas antivirus, organismos dedicados a la lucha contra el cibercrimen e incluso personalidades importantes y jefes de gobierno del país correspondiente.
  5. 5. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 98 3.2 El“Virus de la Policía” en España Pocos meses después de detectarse los primeros casos en Alemania, en junio de 2011 empezaron a verse casos similares en otros países europeos como Francia, Italia y España. Tanto Policía Nacional como Guardia Civil emitieron durante el verano de 2011 sendos comunicados alertando por primera vez a los usuarios, algo que se repetiría en ocasiones posteriores. A partir de ese momento vemos cómo los ciberdelincuentes adaptan las variantes, que cada vez son más avan- zadas. Estas mejoras no se limitan únicamente a actualizaciones gráficas, sino que incorporan nuevos mecanis- mos de defensa para hacer más difícil su eliminación. Los delincuentes no solo hicieron uso del nombre de las Fuerzas y Cuerpos de Seguridad del Estado. También aprovecharon la popularidad de entidades de gestión de derechos como la SGAE para lanzar campañas de ran- somware como la que vemos a continuación. Como dato curioso, tras la abdicación de S.M. Juan Carlos I y la llegada al trono de S.M. FelipeVI , los delincuentes adaptaron esta pantalla de bloqueo reflejando el relevo del monarca. En febrero de 2013 la Policía Nacional, en colaboración con Interpol y Europol, realizó una importante operación policial en Málaga que terminó con la detención de varias personas que formaban parte de uno de los grupos encargados de difundir este tipo de amenazas. No obstante, tal y como se vio poco después, ni este grupo era el único existente ni esta operación logró terminar con la propagación de estas variantes de ransomware. Algunas de las últimas variantes que se observaron en activo utilizaban la imagen del S.M. Juan Carlos I. Esta estrategia se estaba usando en otros países con sus correspondientes jefes de estado.
  6. 6. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 1110 El“Virus de la Policía” también llegó a los Estados Unidos. En agosto de 2012 se encontraron las primeras varian- tes en su territorio. Como vemos en la imagen, éstas ya incorporaban la grabación de la víctima usando su pro- pia cámara web, algo que las primeras variantes no tenían. Otra de las regiones que se vio afectada fue Oriente Medio, con pantallas de bloqueo adaptadas perfec- tamente a países como Emiratos Árabes Unidos, Líbano, Palestina o Arabia Saudí. Como dato curioso, cabe destacar que la cantidad solicitada por los delincuentes variaba entre regiones. En Europa normalmente se solicitaban 100€, mientras que en Estados Unidos esta cantidad era de 100$ y en Latinoamérica la cantidad bajaba a la mitad o incluso menos. Esto demuestra que los delincuentes están al tanto del poder adquisitivo de cada región y solicitan como rescate cantidades que no supongan un fuerte desembolso a las víctimas. 3.3 El“Virus de la Policía” en el mundo No solo Europa está en el punto de mira de esta amenaza. Viendo el éxito cosechado en varios países europeos durante los primeros meses de propagación, los ciberdelincuentes empezaron a buscar nuevos“mercados” don- de propagar sus creaciones. Una de las primeras regiones fuera de Europa en sufrir esta nueva oleada de ran- somware fue Latinoamérica. El primer caso se descubrió en Argentina en octubre de 2011.
  7. 7. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 1312 Con el éxito obtenido por los ciberdelincuentes al propagar este tipo de amenazas entre usuarios finales, no era de extrañar que dirigiesen sus ataques a las empresas. Hasta este momento los casos de ransomware se limita- ban a bloquear el acceso al sistema pero a partir de la aparición del ransomware orientado a empresas, además de mostrar una pantalla de alerta, se cifran los ficheros importantes almacenados en el sistema como documen- tos de texto, hojas de cálculo, bases de datos, fotografías, archivos multimedia, etc. Aunque tiene a las empresas en el punto de mira, los usuarios particulares también pueden verse afectados por esta amenaza. 4.1 Ransomware Anti Child Porn Durante el primer trimestre de 2013 comprobamos como miles de empresas veían sus sistemas infectados por 4. Ransomware orientado a empresas En esta variante ya vemos alguno de los puntos que se repetirían en posteriores ocasiones como el uso de un tipo de cifrado muy difícil de romper utilizando técnicas de fuerza bruta, o el pago de una cantidad más elevada con respecto al“Virus de la Policía”. Si en casos anteriores veíamos que con 100€ bastaba para volver a tener el control de nuestro sistema, en estas ocasiones los delincuentes demandaban cantidades que iban desde los 300 o 500€ hasta los varios miles de euros. Hay que destacar que muchas de las víctimas lo fueron porque algunas de estas variantes de ransomware se aprovechaban de una vulnerabilidad en servidores Windows 2003 que no estaba parcheada en los sistemas in- fectados, algo que facilitaba mucho la tarea a los atacantes. 4.2 Ransomware Filecoder / Cryptolocker Pocos meses más tarde, durante el verano de 2013, apareció Filecoder / Cryptolocker, sin duda una de las mues- tras de ransomware que más quebraderos de cabeza ha dado a los administradores de sistemas de todo el mun- do. Igual que el ransomware Anti Child Porn, Cryptolocker consiguió un elevado número de infecciones debido a que, además de los vectores de infección habituales, los delincuentes atacaban las credenciales débiles de ac- ceso al protocolo de escritorio remoto (RDP). De esta forma conseguían acceder a la máquina e instalar el ran- somware. Esta variante de ransomware incluía avanzados mecanismos tanto de cifrado como de propagación, se utiliza- ron sistemas previamente infectados y pertenecientes a una botnet para infectarlos con Cryptoloker. Su éxito hizo que no tardaran en aparecer imitadores y en diciembre de 2013 apareció una supuesta variante conocida como Cryptolocker 2.0. Entre estas dos variantes existen algunas diferencias que podemos ver en la siguiente tabla:
  8. 8. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 1514 4.3 Torrentlocker Sin duda, la variante de ransomware que más dio de que hablar en 2014 fue Torrentlocker. Este ransomware fue descubierto en febrero de 2014, aunque no fue hasta el mes de agosto cuando se empezaron a observar campa- ñas de propagación masiva de la amenaza. Torrentlocker solo actúa en ciertos países y normalmente suplanta la identidad de algún organismo o empresa, como el servicio nacional de correos. La primera campaña de este tipo fue detectada en agosto de 2014 por inves- tigadores de iSight Partners y suplantaba al servicio postal de Australia. Poco tiempo después, a principios de septiembre, investigadores de ESET descubrieron que el servicio postal británico Royal Mail era suplantado por los delincuentes para ganarse la confianza de los usuarios y hacer que se descargasen la amenaza. Pero no fue hasta principios de diciembre cuando Torrentlocker hizo su aparición en España. Durante la tarde del miércoles 3 de diciembre se enviaron miles de emails en nombre del servicio postal de Correos, en los que se comunicaba la recepción de un paquete. Fueron muchos los que cayeron en la trampa y pulsaron sobre el enlace proporcionado en el correo para, segui- damente, descargarse el fichero y ejecutarlo. Con esa sencilla acción, los delincuentes consiguieron infectar a miles de usuarios. Torrentlocker demostró una vez más que si se usa bien la ingeniería social para engañar a la víctima, no hace falta que el malware sea especialmente elaborado. 4.4 Ransomware VirLock Visto el éxito cosechado por los creadores de este tipo de malware durante los últimos años, no es de extrañar que sigan apareciendo nuevas variantes e incluso que estas incorporen innovaciones. Es el caso de VirLock. Ac- túa como un virus parasitario, ya que infecta los archivos existentes en los equipos. Además, es polimórfico, lo que lo convierte en un tipo de malware muy interesante para analizar. Es la primera vez que observamos una combinación de funcionalidades maliciosas de este tipo.
  9. 9. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 1716 4.5. CTB-Locker Otra de las variantes que más propagación obtuvo durante la primera mitad de 2015 fue CTB-Locker. Esta varian- te solía distribuirse como fichero adjunto en un correo que simulaba ser una comunicación por fax. Cuando este ransomware infecta el sistema, cifra archivos con extensiones MP4, PEM, JPG, DOC o DB entre otras. Posteriormente, se muestra la siguiente imagen en el escritorio de la víctima: Una de las peculiaridades de CTB-Locker, y también de las variantes que aprovechan el falso email de Correos, es que solicita el pago del rescate en bitcoins. Esto hace más difícil rastrear el dinero obtenido por los delincuentes aunque también supone un impedimento para conseguir más víctimas puesto que son pocas las empresas afec- tadas que acostumbradas al uso de esta criptomoneda. 4.6 CryptoFortress CryptoFortress es una variante de CryptoLocker / Filecoder. Sus creadores, al igual que muchos otros,“reciclaron” las plantillas que ya estaban creadas de otros ransomware anteriores. Esta variante también utiliza correos electrónicos para distribuirse. Sin embargo, el código fuente del malware, su funcionamiento y la manera de cifrar los archivos son diferentes a otras variantes de ransomware.
  10. 10. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 1918 Al igual que sucediera con el Virus de la Policía, una vez que el ransomware se ha popularizado como método para obtener dinero rápido por parte de los delincuentes, han aparecido copias que reutilizan el código con mí- nimos cambios estéticos (o ni siquiera eso). Entre los ejemplos más destacados encontramos Alphacrypt, con un diseño prácticamente idéntico a las prime- ras variantes de Cryptolocker y “Los Pollos Hermanos”, un ransomware que solo destaca por el“homenaje” que hace a la serie Breaking Bad y que solo tuvo repercusión limitada en Australia. 4.8 Alphacrypt y ”Los Pollos Hermanos”4.7 Teslacrypt El caso deTeslaCrypt resultó curioso.Además de cifrar los ficheros habituales,Teslacrypt también buscaba fiche- ros relacionados con videojuegos. De entre los 185 tipos de ficheros que cifraba se encontraban algunos pertene- cientes a juegos como Call of Duty, Minecraft, StarCraft2, Skyrim, World of Warcraft, League of Legends, World of Tanks o el propio cliente de Steam, entre muchos otros. Esta variante demuestra que no hay grupos de usuarios descartables para los delincuentes y que aquellos que utilizan su sistema para jugar también pueden ser un objetivo apetecible. Sin embargo, la popularización de las descargas digitales hizo que muchos de los afectados prefirieran volver a instalar el sistema y todos sus juegos a pagar el rescate, por lo que esta variante no tuvo especial repercusión.
  11. 11. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 2120 Una de las últimas novedades del mercado organizado por los cibercriminales es la creación de un servicio de ransomware a la carta. Un ejemplo de esto fue Tox, un servicio online en la Deep Web que permitía crear nuestra propia variante en tres sencillos pasos. Poco tiempo después, el creador de este portal abandonó el proyecto al afirmar sentirse sobrepasado por el éxito obtenido. No es de extrañar ya que el creador resultó ser un adolescente que prefirió retirarse antes de que la cosa fuera a mayores. 4.9 Tox: Ransomware como un servicio El ransomware conocido como Cryptowall fue analizado por primera vez en febrero de 2014, aunque investiga- ciones posteriores demostraron que estaba siendo distribuido por lo menos desde noviembre de 2013, pocos me- ses después de que Cryptolocker hiciera su aparición. En las primeras pantallas de bloqueo utilizadas se aprecia el parecido con Cryptolocker. Imagen obtenida del blog Secureworks de Dell El nombre de este ransomware también ha sufrido cambios a lo largo de su historia. Comenzó siendo conocido como CryptoClone debido a su similitud con otras variantes. Posteriormente, fue rebautizado como CryptoDe- fense y finalmente, a mediados de 2014, adoptó su denominación actual: Cryptowall. Desde su creación ha sido una de las variantes de ransomware más extendida por todo el mundo. El FBI informó recientemente de que desde abril de 2014 a junio de 2015, los ciberdelincuentes consiguieron obtener 18 millones de dólares en los 992 casos reportados únicamente en Estados Unidos. Evolución y cambios en Cryptowall Cryptowall ha sido también uno de los ransomware que más se ha adaptado con el paso del tiempo. Ha cam- biado sus vectores de infección y métodos de pago, entre otras características. Hasta ahora se conocen tres versiones diferentes. Uno de sus principales vectores de infección fue el envío masivo de correos electrónicos con ficheros maliciosos adjuntos o enlaces que conducían al usuario a la descarga del malware. Aún hoy en día esa técnica sigue tenien- do mucho éxito con nuevas variantes de ransomware. No obstante, los ciberdelincuentes que se encuentran detrás de estas campañas de propagación de Cryptowall se dieron cuenta de que el uso de kits de exploits podría maximizar el número de sistemas infectados (el usuario tan solo debe visitar una web preparada para tal fin o una web legítima comprometida para infectarse, sin nece- sidad de descargar ni ejecutar ningún fichero) y lo pusieron en práctica. 4.10 Cryptowall
  12. 12. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 2322 5.1 Android: Si hubiera que destacar algo en particular de la evolución del ransomware durante los últimos meses, sería la rápida adaptación a la plataforma Android. La estrategia es comprensible, han adaptado su modelo de negocio, ya que los usuarios utilizan más sus disposi- tivos móviles que sus ordenadores. Si analizamos alguna de las primeras muestras que recibimos en nuestros laboratorios durante el mes de mayo de 2014, observamos como estas ya presentan un avanzado desarrollo e incorporan algunas de las característi- cas del ransomware que ya hemos comentado. 5. Ransomware en otros sistemas Esta primera variante tan solo bloqueaba el dispositivo con el conocido aviso supuestamente emitido por la Po- licía Nacional, pero no cifraba los ficheros almacenados en el móvil. Simplocker Simplocker fue el primer ejemplo de ransomware en Android. Simplocker. Además de bloquear el dispositivo, cifraba su contenido. En la siguiente imagen podemos observar un caso de ransomware para Android detectado en Ucrania. Vemos el mensaje (y su traducción) que aparecía en la pantalla de bloqueo y los ficheros del dispositivo cifrados y con la extensión .enc. Durante los últimos meses se han utilizado diversos kits de exploits. Angler Exploit Kit y Magnitude Kit son algunos de los utilizados con mayor frecuencia. Además de infectar a sus víctimas, estos kits pueden ser con- trolados remotamente, pasando los equipos infectados a formar parte de una botnet. Cifrado y pago del rescate Cuando un usuario resulta infectado por Cryptowall resulta prácticamente imposible que no se dé cuenta de la infección. Nada más infectarse, se mostrará un mensaje alertando de la misma y avisando al usuario de que sus ficheros han sido cifrados y que debe seguir una serie de instrucciones para recuperarlos. En realidad, el cifrado empieza una vez se ha mostrado este mensaje, cuando ya se ha establecido una comunicación entre el ordenador de la víctima y el servidor que utiliza el atacante para controlar todos los sistemas infectados. En esta comunicación se envía la clave pública única para cada caso, utilizada para cifrar los datos. Cryptowall empieza a cifrar la información almacenada en el disco pasando por varias unidades, una tras otra, exceptuan- do aquellas que sean unidades de sistemas de almacenamiento ópticos como CDs o DVDs. El ransomware excluye ciertas carpetas para asegurarse de que el sistema sigue funcionando y el usuario puede leer sus men- sajes. También se le proporciona a la víctima una serie de enlaces a través de una pasarela a la red Tor, para así difi- cultar el rastreo de los delincuentes. La web con instrucciones que aparece en las versiones más recientes es similar a la que se muestra a continuación: Respecto a la forma de pago, Cryptowall ha utiliza- do muchas diferentes durante el tiempo que lleva activo. Comenzó aceptando tarjetas prepago como Ukash, MoneyPack o Paysafecard y posteriormente criptomonedas como Bitcoin o incluso Litecoin. Esta es una tendencia similar a la que han tenido otras familias de Ransomware como Cryptolocker o CTB- Lockery, pensada para dificultar el rastreo del dinero pagado como rescate. Respecto a la cantidad solicitada, actualmente se suelen pedir 500 dólares, aunque se han detectado casos en los que la víctima ha llegado a pagar varios miles de dólares para recuperar su información. Se- guramente, el delincuente supo, tras una primera comunicación con la víctima, cómo de importantes eran los datos para ésta y se aprovechó de ello pidién- dole una cantidad superior.
  13. 13. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 2524 El cambio más importante en el cifrado fue la inclusión de formatos de ficheros comprimidos como ZIP, 7z y RAR. El ransomware pedía permisos de administrador para ser instalado en el dispositivo, camuflando como aplica- ciones aparentemente inofensivas y conseguían que el usuario lo instalara sin levantar sospechas. En verano se extendió otro tipo de ransomware para Android (policial sin cifrado de ficheros). Utilizaba los servi- cios de publicidad incrustada en algunas páginas web (incluyendo algunos periódicos digitales con millones de visitas diarias) para propagar nuevas variantes. En esta variante se siguen suplantando aplicaciones de confianza, (incluyendo incluso alguna firma de antivirus) para hacer que los usuarios aceptaran los permisos que pe- día el ransomware y lograr el control del sistema. En esta otra muestra estaba la pantalla de bloqueo en esta ocasión estaba en español y suplantaba a Europol, mostrando un mensaje en el que se le acusaba al usuario de haber cometido supuestos delitos así como la nece- sidad del pago de una multa para no ser llevado a juicio. PornDroid Una de las últimas muestras de malware detectadas para Android es la conocida como PornDroid. Esta muestra usa una de las técnicas más desagradables (también utilizada con anterioridad en sistemas Windows), que con- siste en mostrar imágenes de pornografía infantil en el dispositivo del usuario. A continuación, se les muestra una pantalla de bloqueo del FBI acusando al usuario de haber descargado y visualizado estas imágenes. En esta ocasión, la cantidad demandada es de 500$ y se vuelve a mostrar todos los sistemas de pago recomenda- dos por los delincuentes para realizar esta transferencia. Otro dato interesante es que las variantes más moder- nas de PornDroid también permiten al delincuente gestionar los dispositivos infectados a través de una botnet.
  14. 14. ESET / WHITEPAPER 2015 / RANSOMWAREESET / WHITEPAPER 2015 / RANSOMWARE 2726 5.2 Mac OS La presencia de malware en el sistema operativo de Apple ha sido más anecdótica que otra cosa. No obstante, no debemos menospreciar estos intentos de los delincuentes por obtener beneficios de los usuarios de Mac OS. De hecho, son unas víctimas potenciales muy interesantes. A día de hoy, la única variante de ransomware para Mac OS que merece ser destacada fue la analizada a media- dos de 2013. No afectaba al sistema operativo en sí, sino al navegador Safari, lo cual limita bastante su éxito. No obstante, puede tratarse de una prueba de concepto para tantear el terreno y desarrollar amenazas más avan- zadas en el futuro. El aspecto más avanzado de esta variante es que dificulta al usuario el acceso al navegador. Normalmente se muestra una serie de ventanas con mensajes amenazantes como los que vemos a continuación, los cuales im- piden reiniciar Safari. En el caso de que el usuario opte por matar el proceso de Safari, la configuración por defecto del navegador vol- verá a cargar la web maliciosa, volviéndose a repetir el mismo proceso. No obstante, este bucle puede cerrarse si el usuario opta por restaurar Safari, con lo que desactivará la molesta ventana. Perderá datos como el historial de navegación o las contraseñas almacenadas. 6. ¿Cómo evitar una infección por ransomware? Debido a que las variantes recientes de ransomware no permiten la recuperación de los ficheros cifrados siguien- do ningún método (salvo contadas excepciones), la mejor arma de la que disponen los usuarios y empresas fren- te al ransomware es la prevención. Una vez cifrados los archivos es muy difícil volver a recuperarlos. Por ello, desde ESET España proponemos esta serie de consejos: • Mantener actualizados los sistemas operativos, navegadores y aplicaciones para evitar que el ran- somware pueda aprovechar agujeros de seguridad y se distribuya de forma masiva. • Evitar abrir correos sospechosos no solicitados. Tanto si proceden de usuarios conocidos como desco- nocidos es recomendable asegurarse de que la persona que ha enviado el correo realmente quería remitir ese fichero adjunto o enlace. • Tener cuidado con absolutamente todos los archivos adjuntos a un email o descargados desde un en- lace, especialmente aquellos que vienen comprimidos en formato zip. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un malware, por lo que es mejor ser precavido. • Habilitar la función que ofrecen la mayoría de los clientes de correo electrónico de hacer visibles todas las extensiones de los archivos adjuntos recibidos. El objetivo es saber exactamente qué tipo de ar- chivo se nos ha enviado. • Disponer como mínimo de dos copias de seguridad actualizadas y cada una de ellas alojada en una ubicación diferente a la otra. • Utilizar herramientas especializadas (como Anti Ransom o CryptoPrevent) para recibir alertas en caso de que un ransomware empiece a cifrar archivos, e incluso para evitar el cifrado de cierto tipo de fi- cheros en ubicaciones determinadas.
  15. 15. ESET / WHITEPAPER 2015 / RANSOMWARE 28 7. Conclusión A lo largo de este análisis hemos visto cómo el ransomware ha pasado de ser algo anecdótico a una seria amena- za que reporta importantes beneficios a los delincuentes. El uso de técnicas cada vez más innovadoras para asegurar una mayor propagación y su persistencia, junto a la utilización de algoritmos de cifrados robustos (que hacen prácticamente imposible el descifrado de los ficheros afectados usando técnicas de fuerza bruta), demuestra que los delincuentes seguirán apostando por este tipo de amenazas a corto plazo. Por parte de los usuarios, la experiencia ha demostrado que la prevención es la medida de seguridad más efectiva contra el ransomware. Contar con copias de seguridad actualizadas, mantener el sistema actualizado y prote- gido, y no confiar en aplicaciones descargadas de webs no oficiales son las mejores medidas de protección para evitar el secuestro de nuestros datos y la pérdida de importante información privada. @eset_es fb.com/Eset.Espana

×