Ransomware

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

Un ransomware (del inglés ransom rescate y ware, software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.[1] Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250.000 tipos de ransomwares únicos.[2]

Métodos de propagación[editar]

Normalmente un ransomware se transmite tanto como un troyano como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará y cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

Tipos de Ransomware[editar]

Reveton[editar]

En el año 1989, se comenzó a diseminar un ransomware llamado Reveton.[3] Estaba basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde reside la víctima. Por este funcionamiento se lo comenzó a nombrar como “trojan cop” o “troyano de la policía”, debido a que alegaba que el computador había sido utilizado para actividades ilícitas, tales como descargar software pirata o pornografía infantil. El troyano desplega una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarla, mediante el pago de un vale a una cuenta anónima como puede ser Ukash o Paysafecard.

Con el objetivo de hacer creer a la víctima que su computador está siendo monitoreado por la ley es que se muestra la dirección IP del computador en la pantalla como así también se puede desplegar material de archivo simulando que la cámara web del computador está filmando a la víctima. A principios del año 2012 comenzó su expansión por varios países de Europa, según el país podría variar el logo referente a las Fuerzas de la Ley referentes a cada país. Por ejemplo en el Reino Unido contenía el logo del Servicio de Policía Metropolitana, debido a estos sucesos la Policía Metropolitana envió un comunicado informando que bajo ningún concepto ellos bloquearían un computador ni siquiera como parte de una investigación.

En mayo 2012, Trend Micro descubrió las variaciones de este malware para los Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo en América del Norte. En agosto 2012, se comenzó a utilizar el logo del FBI para reclamar una fianza de $200 dólares a pagar mediante una tarjeta de aMoneyPak a los propietarios de computadores infectados. En febrero 2013, un ciudadano ruso fue arrestado en Dubái por autoridades españolas debido a su conexión con la red criminal que había estado usando Reventon, a este ciudadano se le sumaron otras 10 personas con cargos por lavado de dinero. En agosto de 2014, Avast reporto nuevas variantes de Reventon, donde se distribuía software malicioso con el fin de robar contraseñas.

CryptoLocker[editar]

En septiembre de 2013 hizo su reaparición el Ransomware basado en el cifrado de archivos también conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de un tipo de extensión específica. El virus elimina la clave privada a través del pago de un Bitcoin o un bono prepago en efectivo dentro de los 3 días luego de la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil de reparar el ingreso de la infección a un sistema. En caso de que el pago se retrase más allá de los 3 días el precio incrementa a 10 Bitcoin el cual equivale aproximadamente a $2300 dolares en noviembre 2013. CryptoLocker fue aislado gracias a que incautaran la red Gameover ZeuS, tal cual fue anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2 de junio de 2014.

El Departamento de Justicia emitió una acusación en contra del ciberdelincuente ruso Evgeniy Bogachev (Евгений Богачев) alegando su participación en la red GameoverZeuS. Se estima que al menos 3 millones de dólares se cobraron hasta que el malware fue dado de baja.

CryptoLocker.F and TorrentLocker[editar]

En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos en Australia, denominados CryptoWall y CryptoLocker. Las infecciones se propagaban a través de una cuenta falsa del correo Australiano la cual enviaba e-mail notificando de entregas fallidas de paquetes. De este modo se evadía el chequeo de e-mail de manera que se consideraran spam y no llegasen a los destinatarios. Esta variante requería que los usuarios ingresaran a una página web y mediante un código CAPTCHA accedieran a la misma, antes de que el malware sea descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware. Symantec, determinó la aparición de nuevas variantes conocidas como CryptoLocker, el cual no tenía ninguna relación al original debido a sus diferencias. La Corporación Australiana de Broadcasting fue víctima de estos malware, en la cual durante media hora fue interrumpido su programa de noticias ABC News 24 y tuvo que trasladarse hacia los estudios de Melbourne y abandonar las computadoras pertenecientes al estudio de Sydney debido a un CryptoWall.

TorrentLocker es otro tipo de infección con un defecto ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado paso a ser trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y 11700 en Turquía.

CryptoWall[editar]

CryptoWall es una variedad de ransomware que surgió a principios de 2014 bajo el nombre de CryptoDefense dirigida a los sistemas Microsoft Windows. Se propaga a través de e-mail de suplantación de identidad, los cuales usan software de explotación como Fiesta o Magnitud , para tomar el control del sistema, cifrar archivos y así pedir el pago del rescate del computador. El rango de precios se encuentra entre los $500 dolares y $1000 dolares.

En marzo de 2014, José Vildoza, un programador argentino, desarrolló una herramienta para recuperar los archivos de las víctimas de manera gratuita. La recuperación de archivos fue posible gracias a una falla en el programa malicioso por el cual las claves de cifrado quedaban guardadas en el equipo afectado. [4]

Luego de que los autores se percataron del error, actualizaron el criptovirus nombrándolo CryptoWall, el mismo pasó por distintas actualizaciones hasta llegar a la versión 3.0.

CryptoWall3.0 ha sido reportado desde Enero 2015 como una infección que está surgiendo donde hackers rusos se encuentran detrás de esta extorsión.

Mitigación[editar]

Al igual que muchas formas de malware, los programas de seguridad las detectan (ransomware) una vez que han hecho su trabajo, especialmente si una versión de malware está siendo distribuida. Si un ataque se detecta de manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar el proceso de encriptación. Expertos sugieren instalar software que ayuden a bloquear este tipo de ataques conocidos, como así también tener respaldos de seguridad en lugares inaccesibles para cualquier malware.

Véase también[editar]

Referencias[editar]

  1. «Virus: Ransomware bitcoins y móviles». definición. Consultado el 21 de enero de 2013. 
  2. «McAfee: Cyber criminals using Android malware and ransomware the most». InfoWorld. Consultado el 16 de septiembre de 2013. 
  3. «Virus: Ransomware». Ejemplos de Ransomware. Archivado desde el original el 22 de noviembre de 2015. Consultado el 29 de mayo de 2015. 
  4. Stung by file-encrypting malware, researchers fight back (PC World) http://pcworld.com/article/2142180/stung-by-fileencrypting-malware-researchers-fight-back.html |url= sin título (ayuda). 

Enlaces externos[editar]