Ransomware

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.[1] Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250.000 tipos de ransomwares únicos.[2]

Métodos de propagación[editar]

Normalmente un ransomware se transmite tanto como un troyano como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará y cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

Tipos de Ransomware[editar]

Reventon[editar]

En el año 2012, se comenzó a diseminar un ransomware llamado Reventon[3] . Estaba basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde reside la víctima. Por este funcionamiento se lo comenzó a nombrar como “trojan cop” o “troyano de la policía”, debido a que alegaba que el computador había sido utilizado para actividades ilícitas, tales como descargar software pirata o pornografía infantil. El troyano desplega una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarla, mediante el pago de un vale a una cuenta anónima como puede ser Ukash o Paysafecard.

Con el objetivo de hacer creer a la víctima que su computador está siendo monitoreado por la ley es que se muestra la dirección IP del computador en la pantalla como así también se puede desplegar material de archivo simulando que la cámara web del computador está filmando a la víctima. A principios del año 2012 comenzó su expansión por varios países de Europa, según el país podría variar el logo referente a las Fuerzas de la Ley referentes a cada país. Por ejemplo en el Reino Unido contenía el logo del Servicio de Policía Metropolitana, debido a estos sucesos la Policía Metropolitana envió un comunicado informando que bajo ningún concepto ellos bloquearían un computador ni siquiera como parte de una investigación.

En Mayo 2012, Trend Micro descubrió las variaciones de este malware para los Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo en América del Norte. En Agosto 2012, se comenzó a utilizar el logo del FBI para reclamar una fianza de $200 dólares a pagar mediante una tarjeta de aMoneyPak a los propietarios de computadores infectados. En Febrero 2013, un ciudadano ruso fue arrestado en Dubai por autoridades españolas debido a su conexión con la red criminal que había estado usando Reventon, a este ciudadano se le sumaron otras 10 personas con cargos por lavado de dinero. En Agosto de 2014, Avast reporto nuevas variantes de Reventon, donde se distribuía software malicioso con el fin de robar contraseñas.

CryptoLocker[editar]

En septiembre de 2013 hizo su reaparición el Ransomware basado en la encriptación de archivos también conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se encriptan archivos de un tipo de extensión especifica. El virus elimina la clave privada a través del pago de un Bitcoin o un bono prepago en efectivo dentro de los 3 días luego de la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil de reparar el ingreso de la infección a un sistema. En caso de que el pago se retrase mas allá de los 3 días el precio incrementa a 10 Bitcoin el cual equivale aproximadamente a $2300 dolares en Noviembre 2013. CryptoLocker fue aislado gracias a que incautan la red Gameover ZeuS, tal cual fue anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2 de Junio de 2014.

El Departamento de Justicia a si mismo emitió una acusación en contra del hacker ruso Evgeniy Bogachev alegando su participación en la red GameoverZeuS. Se estima que al menos $3 millones de dólares se cobraron hasta que el malware fue dado de baja

CryptoLocker.F and TorrentLocker[editar]

En septiembre de 2014, una ola de ransomware llegaron a sus primeros objetivos en Australia, denominados bajos los nombres de CryptoWall y CryptoLocker. Las infecciones se propagaban a través de una cuenta falsa del correo Australiano la cual enviaba e-mail notificando de entregas fallidas de paquetes. De este modo se evadía el chequeo de e-mail de manera que se consideraran spam y no llegasen a los destinatarios. Esta variante requería que los usuarios ingresaran a una pagina web y mediante un código CAPTCHA accedieran a la misma, antes de que el malware sea descargado, de esta manera se evito que procesos automáticos puedan escanear el malware. Symantec, determino la aparición de nuevas variantes conocidas como CryptoLocker.F el cual no tenia ninguna relación al original debido a sus diferencias. La Corporación Australiana de Broadcasting fue victima de estos malware, en la cual durante media hora fue interrumpido su programa de noticias ABC News 24 y tuvo que trasladarse hacia los estudios de Melbourne y abandonar las computadores pertenecientes al estudio de Sydney debido a un CryptoWall.

TorrentLocker es otro tipo de infección con un defecto ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado paso a ser trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y 11700 en Turquía.

Cryptowall 3.0[editar]

CryptoWall es una variedad de ransomware dirigida a los sistemas Microsoft Windows. Se propaga a través de e-mail de suplantación de identidad, los cuales usan software de explotación como Fiesta o Magnitud , para tomar el control del sistema, encriptar archivos y así pedir el pago del rescate del computador. El rango de precios se encuentra entre los $500 dolares y $1000 dolares, CryptoWall3.0 ha sido reportado desde Enero 2015 como una infección que esta surgiendo donde hackers rusos se encuentran detrás de esta extorsión.

Mitigación[editar]

Al igual que muchas formas de malware, los programas de seguridad las detectan (ransomware) una vez que han hecho su trabajo, especialmente si una versión de malware esta siendo distribuida. Si un ataque se detecta de manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar el proceso de encriptación. Expertos sugieren instalar software que ayuden a bloquear este tipo de ataques conocidos, como así también tener respaldos de seguridad en lugares inaccesibles para cualquier malware.

Véase también[editar]

Referencias[editar]

  1. «Virus: Ransomware bitcoins y móviles». definición. Consultado el 21 de enero de 2013. 
  2. «McAfee: Cyber criminals using Android malware and ransomware the most». InfoWorld. Consultado el 16 de septiembre de 2013. 
  3. «Virus: Ransomware». Ejemplos de Ransomware. Consultado el 29 de Mayo de 2015. 

Enlaces externos[editar]