Que el ramsomware crece a pasos agigantados y que amenaza con convertirse en un problema multimillonario es una realidad que ya nos hemos encargado de plasmar en anteriores artículos. Un incremento que ha llevado a diversas firmas de seguridad a tomar medidas al respecto y que, al mismo tiempo, ha fomentado el análisis concienzudo de la situación.
Precisamente esto es lo que ha hecho la firma estadounidense Fortinet que, en un artículo recién publicado en su blog han establecido un baremo con las amenazas de ransomware más populares de la red. Encabezando el ranquin nos encontramos a CryptoWall, Locky y Cerber. Pero, ¿en qué consisten exactamente? ¿Cómo detectarlas?
La lista
De esta manera, este malware -que se dedica a engañar a sus víctimas bloqueando su ordenador y haciéndoles creer no solo que han infringido la ley sino que deben pagar una sanción para enmendarse y que todo vuelva a la normalidad- está dando cada vez más quebraderos de cabeza a empresas y particulares; unas amenazas que se encuentran protagonizadas no solo por las citadas familias de ransomware, sino también por TorrentLocker y TeslaCrypt (sí, a pesar de que los operadores de este último ha cerrado y pedido perdón). Pero vayamos con cada una de ellas.
1. CryptoWall
Activo desde hace años, CryptoWall se hace con un 41, 04% de los ataques de este tipo y afecta a los usuarios de Windows. Y lo hace de un modo muy similar a CryptoDefence pues, tras colarse en nuestro ordenador, encripta nuestros archivos y solicita hasta 500 dólares en bitcoins para recuperarlos. Puede acceder a tu sistema si visitas sitios web maliciosos, haces clic sobre falsos mensajes que, supuestamente, actualizan determinados componentes, etcétera.
Afecta principalmente a Rusia, aunque cada vez se están registrando más casos en Estados Unidos Sudamérica y España. Lo hace valiéndose de claves de cifrado RSA 2048, que le permiten codificar los archivos – doc, .docx, .xls, .ppt, .psd, .pdf, .eps, .ai, .cdr, .jpg. y más- de tal modo que ya no puedan ser leídos sin la correspondiente contraseña. Para eliminarlo, algunas de las opciones más rápidas son Eset Online Scanner y Kaspersky Security Scan, entre otras. Tras esto sería conveniente restaurar los archivos a partir de una copia de seguridad.
2. Locky
Con un 34,36%, Locky es un virus criptográfico que también secuestra los equipos y que se propaga a través de archivos dañinos .doc, .docm o .xls como adjuntos a mensajes SPAM en nuestro correo electrónico. Su fin, como el anterior, es cifrar los archivos de la víctima para después exigir un rescate. Un objetivo que logrará creando un archivo BAT y otro más con código VBScript para, finalmente, descargar la amenaza principal.
Asimismo, estos documentos contienen supuestas macros, que serán ejecutadas en cuanto pinchemos sobre “habilitar contenidos”; momento a partir del cual empezará la infección. El rescate, en esta ocasión, es ligeramente más bajo (ronda los 200 euros) y la opción más recomendable es también la de restaurar el sistema a partir de una copia de seguridad.
Un virus que, por cierto y recientemente (el 26 de este mismo mes) hemos sabido que se está expandiendo como una auténtica plaga en Europa. Los más afectados han sido Luxemburgo (67%), la República Checa (60%), Austria (57%), los Países Bajos 54%) y Reino Unido (51%), aunque también se han detectado tasas importantes en Japón (con un 79%) y los Estados Unidos. En España el porcentaje de detecciones cae al 39%.
3. Cerber
En tercera posición nos encontramos a Cerber, con un 24,17%, y que gana posiciones rápidamente; algo que merece la pena destacar, especialmente si tenemos en cuenta que fue detectado por primera vez a principios de marzo por las firmas de seguridad Malwarebytes y Bleeping Computer.
En concreto, afecta a los dispositivos con cualquier sistema operativo de los de Redmond y se trata de un RAAS (Ramsomware-As-A-Service, muy explotado en Rusia); una práctica en la que los cibercriminales venden packs de virus a terceros y reciben un porcentaje de la tarifa de rescate (que ronda la cifra nada desdeñable de 500 dólares –unos 475 euros al cambio-, una cantidad que se duplica tras una semana) que la víctima pague para recuperar sus archivos.
En concreto afecta a ficheros .jpg, .doc, raw, avi y otros, que encripta, y a cuyo nombre Cerber añade la extensión .cerber. Por desgracia, resolverlo resulta complicado, aunque siempre podemos restaurar el sistema a partir de una copia de seguridad u optar por soluciones como Spy Hunter.
Por otra parte, cabe destacar que este virus se distribuye a través de adjuntos en e-mails maliciosos, redes P2P, actualizaciones falsas de software, troyanos, etcétera. Nuestra recomendación: aléjate de las webs de descargas poco fiables, evita los correos que provengan de remitentes desconocidos, etcétera.
Sus principales objetivos, asimismo, se encuentran en Estados Unidos (mayoritariamente), Taiwán, Japón y Australia. España ocupa la octava posición. Otra de sus particularidades es que dispone de una función que transforma el texto en voz y que profiere amenazas a las víctimas.
Otras consideraciones
Al margen de lo comentado, no podemos evitar comentar que , ya a finales de enero, el informe Tendencias 2016 de ESET vaticinó que esta clase de ataques se incrementarían durante este año, empezando a formar parte de nuestras vidas.
Una realidad acorde, según la entidad, al vertiginoso avance de la tecnología y los dispositivos que se conectan a la red, que lleva aparejado, inevitablemente un aumento de la superficie de ataque y riesgos de seguridad. Un contexto en el que, en definitiva, resulta imprescindible ser consciente de estos problemas y educarse al respecto.
Fuente:https://www.genbeta.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad