La primera vez que se presentó un caso documentado de Ransomware fue en 1989 y hasta hoy sus pasos son los mismos: hay una infección, el usuario afectado “reza” por la recuperación de su información y finalmente, los criminales cobran su recompensa que en la actualidad varía entre US$ 200 y US$10.000.
Se supo mucho del llamado Ransomware, del malware cifrado -programas que cifran los datos importantes en computadoras infectadas y luego exigen un rescate para descifrarlos-, en la reciente 5ta Cumbre Latinoamericana de Analistas de Seguridad celebrada en Santiago de Chile y a la que Computerworld Venezuela asistió.
Aprendimos que en Latinoamérica está creciendo mucho en estos últimos años, dos de cada cinco personas paga la recompensa, pero si bien, es menos de un 50%, el monto es suficiente para recaudar sumas millonarias. Para que tengan una idea, hoy la cabeza del creador de Cryptolocker – un troyano Ransomware –, vale US$3 millones y ¿saben por qué? porque en los primeros tres meses de vida, Cryptolocker recaudó US$30 millones.
Santiago Pontiroli, analista de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky Lab fue el vocero especializado en suministrarnos estos datos indicando además que durante 2014 se detectaron 7 millones de intentos de infección por Ransomware y que la familia Trojan.Ransom, que engloba a este tipo de malware, tuvo un crecimiento de 65% entre finales de 2014 y el primer cuarto de 2015.
En la Región, 92% de las muestras son detectadas en Brasil, le sigue Costa Rica en 4,6%, Chile (0,6%), Argentina (0,55%) y Colombia (0,54%). Mundialmente, encabeza Ucrania (20%), Rusia (18%), Suiza (12%), Alemania (11%), Estados Unidos (8%). “América Latina es un reflejo de lo que pasa en el Norte. Los criminales ya saben la forma de obtener dinero en esos países, en algunos casos, por la moneda que es fuerte”, afirma Pontiroli.
¿Por qué nos infectamos de Ransomware?
Las causas son varias: Solo 37% de las empresas consideran que el Ransomware es un peligro serio, muchas soluciones de seguridad están mal configuradas o desactualizadas, aunado al uso de software ilegal, el cual se eleva a 59% del software que hay en América Latina. “En la Región tenemos un problema de falta de capacitación de la gente que se encarga de esto y falta de cultura en el tema del Ransomware”, advierte el experto.
Los métodos de infección son a través de Exploit Kits que aprovechan los programas sin actualizar, las redes sociales -todo se comparte; el correo electrónico, y el USB.
“Más del 50% del correo electrónico que circula por la red es Spam. Dentro de ese Spam se incluye lo que se conoce como Phishing, un correo que parece ser legítimo y que al darle click al archivo adjunto, se infectan con Ransomware”, señaló Pontiroli.
El ejecutivo comentó que para un cibercriminal la creación de un Ransomware es relativamente fácil. Citó un servicio gratuito que estaba en la red anónima TOR, llamado Tox, en el que cualquiera podía ingresar y creaba un Ransomware directamente desde el sitio. Posteriormente lo distribuía y el dueño del sitio solo pedía y obtenía un 30% de sus ganancias. “Con cero conocimientos, cero inversión, un cibercriminal puede comenzar este tipo de campañas. Se arman además esquemas piramidales en los que se reparten las ganancias. Por eso vemos un crecimiento acentuado. Tor hoy no existe más, pero en muchos foros de criminales hay kits que se pueden adquirir por US$5.000, con la promesa de que el primer día de infección se obtiene un retorno de inversión de US$25.000”, explicó el analista.
El Ransomware se diversifica
Un Ransomware es el CTB Locker, que no comenzó en América Latina, pero que los cibercriminales lo adaptaron a la Región y lanzaron una versión. Las recompensas, explica Pontiroli, se pagan con Bitcoins, lo cual les garantiza el anonimato. Los métodos de infección son variados. Hace poco publicaron sobre la muerte de Chespirito, por ejemplo.
CoinVault también está en la escena. Es un tipo de Ransomwa
re que cifra archivos y sus autores exigen Bitcoins para desbloquearlos, ha infectado a más de mil equipos basados en Windows en más de 20 países. Pontiroli cuenta que La Unidad Nacional de Delitos de Alta Tecnología (NHTCU, por sus siglas en inglés) de la policía de los Países Bajos y la Oficina Nacional de Fiscales obtuvieron una base de datos de un servidor de comando y control de CoinVault. Este servidor contenía inicialización de vectores, llaves y carteras privadas de Bitcoin que ayudó a Kaspersky Lab y al NHTCU, a crear un repositorio especial de claves de descifrado. Con esta información, pudo diseñar una herramienta de descifrado que permitió abrir los archivos y eliminar el programa malicioso CoinVault de máquinas infectadas. “Mucha gente pudo recuperar su información”, señaló Pontiroli, añadiendo que éste fue un ejemplo claro de que la empresa privada necesita trabajar de la mano de la Ley. Nuestro trabajo es analizar y proveer evidencia”.
El analista informó además que ya tienen una muestra interesante de Ransomware para Android, “interesante” advierte porque fue uno de los primeros en la utilización de técnicas de cifrado y conseguía que la gente pagara acusándolos de poseer pornografía infantil y zoofilia y de su distribución. “Te acusa y te saca una foto con la cámara de tu teléfono. Los cibercriminales ya están probando nuevos vectores de infección, están probando su negocio”.
También, nombró a un Ransomware orientado a las personas que le gustan los videojuegos. Teslacrypt busca exclusivamente los archivos de viodejuegos, y en general, todo lo que un jugador de viodejuegos tiene en su equipo. Cifran juegos como World WarCraft, League Legends y Call of Duty. “Los cibercriminales van ajustando las campañas de acuerdo a la audiencia que le dan mayor retorno de inversión, en este caso son los jugadores, pero van a ir migrando a otros temas”, advierte.
Finalmente, expone las consecuencias del Cryptowall en el que el FBI a través de un comunicado reportaba 992 incidentes de este tipo de Ransomware. De estos incidentes, las pérdidas estimadas de las empresas fue de US$8 millones. “Los costos van más allá de la recompensa, incluye costos legales, análisis forense, el lucro cesante. Cryptowall puso un foro para que los afectados los contactara, allí hubo negociaciones. Cryptowall tuvo muchas infecciones en Estados Unidos, una agencia policial fue afectada y les tuvieron que pagar para que les devolviera su información”.
Futuro y prevención
El Internet de las Cosas potenciará el escenario de más Ransomware. El experto advierte que se espera la expansión a otras plataformas no Windows (Android, Mac, OSX) y una mejor integración con medios de pagos digitales y uso de redes anónimas.
¿La solución? Comenzar con desmotivar a los cibercriminales y no hacerles el camino fácil. Se debe disponer de una solución de seguridad correctamente configurada y actualizada, de un sistema operativo original y de programas actualizados. La educación constante sobre las nuevas amenazas es básica y siempre, no olvidar, hacer sus copias de seguridad.
Fuente:https://www.cwv.com.ve/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
