Sin lugar a dudas es una de las amenazas que más ha dado qué hablar en los últimos meses. Sus propietarios han decidido mejorar la seguridad del ransomware Locky añadiendo un cifrado extremo a extremo para evitar que las comunicaciones sean analizadas, ofreciendo de esta forma un mayor control sobre el envío de la información y sobre todo del acceso a este.
Desde finales de enero es una de las amenazas que ha copado más portadas, sobre todo por afectar al sector público, dejando muy tocados los archivos de hospitales, compañías y energía. Su distribución se sustenta sobre todo en el correo electrónico spam, aunque sí que es verdad que en las últimas semanas se ha encontrado alguna copia en páginas web referenciadas haciendo uso de redes sociales, aprovechando sobre todo que estas últimas poseen una gran difusión entre los usuarios.
Con la última novedad del ransomware Locky, sus propietarios se cubren las espaldas en lo referido a materia de seguridad y eliminando el punto débil existente hasta el momento: las comunicaciones entre los extremos. Ahora será necesaria una clave privada RSA para conseguir acceso al interior de la red, además de la clave pública que ya se distribuía.
Hay que recordar que hasta este momento la amenaza siempre distribuía una clave pública única a cada usuario infectado, formando parte del proceso de cifrado de los archivos. A partir de ahora será necesaria la clave privado para extraer el contenido de las peticiones y respuestas realizadas entre el equipo del usuario y el servidor de control.
En definitiva algo que es muy complicado y podría decirse que prácticamente imposible. Esto se hace con la única finalidad de dificultar las tareas de los expertos en seguridad a la hora de extraer información sobre la amenaza y permitir el desarrollo de un software que permita el descifrado de la información afectada.
Los propietarios del ransomware Locky quieren mantener el control de lo que es ya un negocio
Nunca mejor dicho s eha convertido en una forma de hacerse de oro a costa de los usuarios y la pérdida de su información. Para evitar que las autoridades y expertos en seguridad sean un problema para el negocio, los propietarios han introducido esta modificación que permite conocer la dirección IP del equipo infectado pero no la que se envía y recibe, dificultando la investigación. Los propietarios también buscan proteger el servidor de acceso no autorizados y evitar que este sea utilizado para distribuir otras amenazas y que otros recauden dinero a costa de su infraestructura.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad