Malware, ¿Qué es el Ransomware?

El ransomware es un tipo de malware de criptovirología que amenaza con publicar los datos personales de la víctima o bloquear perpetuamente el acceso a ellos a menos que se pague un rescate.

Si bien, algunos ransomware simples pueden bloquear el sistema sin que una persona con conocimientos tenga demasiadas dificultades para revertirlo.

Los malware más avanzado utilizan la técnica avanzada denominada extorsión criptoviral.

La técnica de extorsión se basa en el encriptado los archivos de la víctima y lograr hacerlos inaccesibles, para posteriormente exigir un pago mediante un rescate para lograr descifrarlos.

En un ataque de extorsión criptoviral correctamente implementado, el recuperar los archivos sin la clave de descifrado es una tarea casi imposible.

En los rescates, los atacantes exigen el pago mediante criptomonedas digitales difíciles de rastrear como Bitcoin e incluso mediante otros medios de pago como Paysafecard.

Con eso, los atacantes dificultan el posible rastreo de su ubicación e impiden la posibilidad de ser juzgados.

Los ataques de ransomware generalmente se llevan a cabo utilizando un troyano disfrazado como documento legítimo, engañando al usuario para que lo descargue o abra al llegar como un adjunto de email.

Sin embargo, existen ejemplos de alto perfil, como por ejemplo el gusano WannaCry que es un ransomware capaz de viajar automáticamente entre computadoras sin la interacción del usuario.

A partir de 2012, el uso de estafas de ransomware crece de manera exponencial cada año hasta lograr ser ya, el tipo de malware más usado en la actualidad y sobre todo, el más peligroso.

En 2020, el IC3 recibió 2.474 quejas identificadas como ransomware con pérdidas valoradas en más de 29.1 millones de dólares, siendo esas exclusivamente las pérdidas de las que se ha informado.

¿Cómo nace el ransomware?

El concepto de ransomware de cifrado de archivos fue inventado e implementado por Young y Yung en la Universidad de Columbia y fue presentado en la conferencia IEEE Security & Privacy de 1996.

Entonces, se le llama extorsión criptoviral y nace inspirado en el xenomorfo ficticio de la película Alien.

¿Cómo se ejecutan los ataques de ransomware?

Los ataques de ransomware generalmente se llevan a cabo utilizando un troyano ingresando a un sistema a través de por ejemplo: Un archivo adjunto malicioso, un enlace incrustado en un correo electrónico de phishing o una vulnerabilidad en un servicio de red.

Luego, el programa ejecuta una carga útil que bloquea el sistema de alguna manera o afirma bloquear el sistema pero no lo hace (por ejemplo, un programa scareware).

Las cargas útiles pueden mostrar una advertencia falsa supuestamente de una entidad como una agencia de la ley, alegando falsamente que el sistema se ha utilizado para actividades ilegales o que contiene contenido como pornografía y medios “pirateados”.

Algunas cargas útiles consisten simplemente en una aplicación diseñada para bloquear o restringir el sistema hasta que se realiza el pago, generalmente configurando el Shell de Windows para sí mismo o incluso modificando el registro de inicio maestro y/o la tabla de particiones para evitar que el sistema operativo se inicie hasta que se repare.

Las cargas útiles más sofisticadas cifran archivos y muchas utilizan un cifrado fuerte para cifrar los archivos de la víctima de tal manera que solo el autor del malware tiene la clave de descifrado necesaria.

El pago es prácticamente siempre el objetivo y la víctima se ve obligada a pagar para que se elimine el ransomware proporcionando un programa que pueda descifrar los archivos o enviando el código de desbloqueo que deshaga los cambios de la carga útil.

Si bien el atacante puede simplemente tomar el dinero sin devolver los archivos de la víctima, lo mejor para el atacante es realizar el descifrado según lo acordado, ya que las víctimas dejarán de enviar pagos si se sabe que no sirven para nada.

Un elemento clave para que el ransomware funcione para el atacante es un sistema de pago conveniente que es difícil de rastrear.

Los atacantes han utilizado una amplia gama de diferentes métodos de pago, incluyendo las transferencias, los mensajes de texto, el prepago de vales de servicios como paysafecard o las criptomonedas como el Bitcoin.

En mayo de 2020, el proveedor Sophos informó que el costo promedio global para remediar un ataque de ransomware (considerando el tiempo de inactividad, el tiempo de las personas, el costo del dispositivo, el costo de la red, la oportunidad perdida y el rescate pagado) era de 761.106 dólares.

Se cree que el 95% de las organizaciones que han pagado un rescate fueron capaces de recuperar una gran mayoría de sus datos.

La extorsión criptoviral

La extorsión criptoviral es un protocolo que consta de tres ciclos que se llevan a cabo entre el atacante y la víctima que vas a poder encontrar totalmente explicado en la publicación sobre criptovirología.

¿Cómo se pueden mitigar los ataques de ransomware?

Al igual que con otras formas de malware, el software de seguridad (antivirus software) podría no detectar una carga útil de ransomware, especialmente en el caso de cargas útiles de cifrado.

Solamente después de haberse activado o completado el ransomware es detectado, especialmente en el caso de que el ransomware sea un software desconocido por software de protección.

Si se sospecha o se detecta de un ataque en sus primeras etapas, se necesita algún tiempo para que se lleve a cabo el cifrado. la eliminación inmediata del malware (un proceso relativamente simple) antes de que se haya completado evitara más daños a tus datos.

Algunos expertos en seguridad han sugerido medidas de precaución para hacer frente al ransomware.

El uso de software u otras políticas de seguridad para bloquear el lanzamiento de cargas útiles conocidas puede ayudar a prevenir infecciones, pero no va a protegerte contra todos los posibles ataques.

Como tal, tener una solución de respaldo adecuado es un componente crítico para defenderse del ransomware.

Debes tener en cuenta que debido a que muchos atacantes de ransomware no solo cifran la máquina en vivo de la víctima, sino que también intentarán eliminar cualquier copia de seguridad activa almacenada localmente o accesible a través de la red en un NAS.

Es fundamental mantener copias de seguridad “fuera de línea” de los datos almacenados en ubicaciones inaccesibles desde cualquier computadora potencialmente infectada: Como unidades de almacenamiento externo o dispositivos que no tengan acceso a ninguna red (incluida Internet).

Eso evitará que el ransomware acceda a ellos.

Además, si utilizas un almacenamiento NAS o en la nube, la computadora debe tener permiso de solo agregar almacenamiento de destino, de modo que no puedas eliminar ni sobrescribir copias de seguridad anteriores.

La instalación de actualizaciones de seguridad emitidas por los proveedores de software puede mitigar las vulnerabilidades aprovechadas por ciertas tensiones para propagarse.

Otras medidas incluyen la higiene cibernética: El cuidado al abrir archivos adjuntos, enlaces de correo electrónico, segmentar la red y mantener las computadoras críticas aisladas de las redes.

Además, para mitigar la propagación del ransomware se pueden aplicar medidas de control de infecciones.

Esto puede incluir la desconexión de las máquinas infectadas de todas las redes, programas educativos, canales de comunicación eficaces, vigilancia de malware y formas de participación colectiva.

Defensas del sistema de archivos contra ransomware

Varios sistemas de archivos mantienen instantáneas de los datos que contienen, que se pueden usar para recuperar el contenido de los archivos de un momento anterior al ataque de ransomware en caso de que el ransomware no lo desactive.

  • En Windows, la instantánea de volumen (VSS) se utiliza a menudo para almacenar copias de seguridad de datos; ransomware a menudo se dirige a estas instantáneas para evitar la recuperación y, por lo tanto, a menudo es aconsejable deshabilitar el acceso del usuario a la herramienta de usuario VSSadmin.exe para reducir el riesgo de que el ransomware pueda deshabilitar o eliminar copias anteriores.
  • En Windows 10, los usuarios pueden agregar directorios o archivos específicos al Acceso controlado a carpetas en Windows Defender para protegerlos del ransomware. Se recomienda agregar copias de seguridad y otros directorios importantes al Acceso controlado a carpetas.
  • A menos que el malware se arraigue en el sistema host de ZFS al implementar un ataque codificado para emitir comandos administrativos de ZFS, los servidores de archivos que ejecutan ZFS son ampliamente inmunes al ransomware, porque ZFS es capaz de tomar instantáneas incluso de un sistema de archivos grande muchas veces por hora, y estas instantáneas son inmutable (solo lectura) y fácilmente revertido o archivos recuperados en caso de corrupción de datos. En general, solo un administrador puede eliminar (pero no modificar) las instantáneas.

Descifrado y recuperación de archivos

Hay una serie de herramientas diseñadas específicamente para descifrar archivos bloqueados por ransomware, aunque es posible que no sea posible una recuperación exitosa.

Si se usa la misma clave de cifrado para todos los archivos, las herramientas de descifrado utilizan archivos para los que hay copias de seguridad no dañadas y copias cifradas (un ataque de texto plano conocido en la jerga del criptoanálisis.

Pero, solo funciona cuando el el cifrado que utilizó el atacante era débil para empezar, siendo vulnerable a un ataque de texto plano conocido); la recuperación de la clave, si es posible, puede tardar varios días.

Las herramientas gratuitas de descifrado de ransomware pueden ayudar a descifrar archivos cifrados por las siguientes formas de ransomware: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear, Jigsaw, LambdaLocker, NoobCrypt, Stampado, SZFLocker, TeslaCrypt, XData.

Además, es posible que existan copias antiguas de archivos en el disco, que se ha eliminado previamente. En algunos casos, estas versiones eliminadas aún pueden recuperarse utilizando software diseñado para ese propósito.


Malware: Los Ransomware Más Conocidos (Capítulo 11)
¿Qué es la criptovirología? (Capítulo 9)


? Libro Hacking desde 0


? Herramientas Hacking ? Recursos Hacking


?‍♀️ Cursos Seguridad en Red ? Cursos RedesCursos Servicios en Nube ?‍♂️ Libros Seguridad y Criptografía ? Libros Redes