miércoles, 14 de diciembre de 2016

Diez hechos sobre ransomware

1. Ideado en 1980
El primer ransomware del que se tiene registro fue creado por Joseph Popp. Popp programó el troyano “AIDS” (también conocido como “PC Cyborg”) en 1989. Este notificaba que la licencia para algún software del usuario había expirado, encriptaba nombres de archivos en el disco duro y después solicitaba al usuario pagar 189 dólares a la “PC Cyborg Corporation” para desbloquear el sistema. Encriptaba los nombres de archivo usando criptografía simétrica. Una vez que los expertos tuvieron oportunidad de analizar el código malicioso y las tablas encriptadas se volvió simple revertir el proceso (hoy en día los ransomware que encriptan utilizan criptograma asimétrico) y localizar al autor.
2. Encripta datos o bloquea sistemas completos; en ambos casos pide un rescate
En esencia hay dos tipos de ransomware: Bloqueadores y encriptadores.
Los encriptadores son troyanos que encriptan toda clase de datos que puede ser valiosa para el usuario sin su conocimiento. Esto puede incluir fotos personales, archivos, documentos, bases de datos, etc. Los bloqueadores también son troyanos. Algunos de los más prominentes están basados en otros, por ejemplo Reveton que se encuentra basado en el malware bancario ZeuS. Esta clase de malware únicamente bloquea los sistemas infectados y exige un pago a cambio de desbloquearlos.
640-9
3. Existe para varias plataformas
El ransomware se volvió extremadamente popular en la segunda mitad del 2000. Inicialmente, la mayoría de las víctimas eran usuarios de PCs con WIndows. Con el tiempo, el ransomware para otras plataformas emergió, incluyendo iOS, Mac OS X y Android.
4. Pagar puede ser en vano
Como con los extorsionistas del mundo real, no hay absolutamente ninguna garantía de que estos se adhieran a su parte del “acuerdo”. Incluso si una víctima elige pagar, no significa que obtendrá acceso nuevamente a sus archivos. El mejor curso de acción aquí es hacer todo lo posible para prevenir la infección.
5. Es distribuído como otros tipos de malware.
Hay muchas formas en las que el ransomware se distribuye, pero frecuentemente se entrega vìa spam, o actúa como gusanos computacionales, incitando a los usuarios a ejecutar o descargar la carga maliciosa usando técnicas genéricas de ingeniería social.
El Cryptolocker original, por ejemplo, había sido distribuido vía el botnet de ZeuS Gameover, y fue destruído por agencias policiales durante la famosa Operación Tovar, al eligiendo como objetivo la infraestructura del botnet mencionado. No es sorprendente que los cyber criminales unan fuerzas para beneficios mutuos. Durante la operación una base de datos de llaves privadas usadas por Cryptolocker fue recuperada, tras lo cual un servicio online fue establecido para ayudar a las víctimas a recuperar sus archivos encriptados usando estas llaves. De manera gratuita, claro está.
metropolitan_police_ransomware_scam
6. Muestra mensajes falsos que aparentan venir de agencias oficiales
El ransomware comúnmente intenta espantar a los usuarios mostrando mensajes falsos que vienen, supuestamente, de agencias oficiales o policiales que los acusan de conductas criminales. Hay un caso descrito en Wikipedia donde una persona se entregó a la policía después de recibir un mensaje falso del FBI acusándolo de poseer pornografía infantil, que de hecho poseía. Fue arrestado sin derecho a fianza. En esta ocasión un mal desenterró a otro.
7. Es cada vez más sofisticado
Los encriptadores utilizan métodos cada vez más sofisticados de encriptamiento RSA, con longitudes de contraseñas cada vez más grandes. Para mediados del 2006 la ya difunta Gpcode. AG usaba una llave pública de 660 bits. En dos años su nueva variante usaba ya una llave de 1024 bits, que era casi imposible de romper sin un esfuerzo concertado. CryptoLocker ya usaba un par de llaves de 2048 bits.
8. Genera millones
El Ransomware genera millones para sus operadores, aunque el dato exacto es impreciso. Los estimados tanto de cantidades pagadas como de víctimas que han elegido pagar son muy variados entre reportes.
ZDNet monitoreó 4 direcciones de Bitcoin asociadas con dueños de CryptoLocker, y encontraron el movimiento de casi 42,000 BTC (equivalente a 27 millones de dólares aproximadamente) en un periodo de 3 meses a finales del 2013. Encuestas de vìctimas de CryptoLockers muestran varios resultados. El porcentaje de usuarios que reportan haber pagado un rescate varía del 0.4% al 41%. Después de que retiraran Gameover ZeuS, se reportó que apenas el 1.3% de sus víctimas pagaron. La cifra puede no parecer muy grande pero es suficiente para motivar a los criminales a seguir intentando. Ransomware nuevo y “mejor” viene en montones, y algunos – como el troyano Onion – son bastante particulares, originales y extremadamente peligrosos.
9. Cobran en grande
Los extorsionistas exigen un pago de 300 o más dólares o euros vía una tarjeta de prepago anónima (como MoneyPak o Ukash) o una cantidad equivalente en Bitcoin dentro de un periodo limitado de tiempo. Si el pago no llega en tiempo la clave pública se borra y el archivo encriptado se vuelve imposible de recuperar. Las compañías suelen recibir demandas mucho mayores.
10. Respalda tu información para combatirlo
Prevenir el ransomware requiere básicamente el mismo acercamiento que cualquier otro malware – mantén el software vulnerable actualizado, bloquea o limita cualquier clase de acceso no autorizado a tus datos, etc. Sin embargo hay un detalle que cuidar: Un respaldo offline es una póliza de seguro ante esta amenaza, asumiendo que el malware no ha entrado ya a nuestros equipos. Aunque si ya hemos sido infectados hay una ventana de oportunidad de deshacernos de él una vez que la información ha sido recuperada del respaldo.
Encriptar los archivos toma tiempo y requiere poder de procesamiento. No existe nada de lo segundo en un respaldo offline, así que el encriptamiento no sucede y hay posibilidad de recuperar los datos o identificar los archivos maliciosos y procesos para removerlos.