En marzo de este año, un grupo de expertos de Kaspersky descubrió en Brasil un ransomware (Trojan Ransom Xpan) que ha estado infectando hospitales y otras compañías. A través de una GUI el malware exigía una “donación” como comisión por dar a conocer una falla de seguridad en la empresa, advirtiendo a esta la necesidad de invertir en seguridad informática y en backups diarios.
El ransomware es uno de los tipos de ataque informático a empresas que más se ha expandido en el último año convirtiéndose en un negocio prolífico y en un tema de agenda pública. Se calcula que en 2015 se producían 1000 ataques ransomware diarios, mientras que para este año esa cifra se ha cuadruplicado. Su objetivo es acceder a privilegios de administrador a través de protocolos de acceso remoto con contraseñas débiles o errores de implementación, o usar ingeniería social para lograr que un funcionario interno ejecute el software malicioso, que toma el control de archivos claves y los encripta para luego pedir un rescate por ellos, un auténtico secuestro informático que pone en jaque a la víctima, amenazando con eliminar uno de los activos más preciados de cualquier empresa: información.
Técnicas y malware
Las técnicas para realizar el secuestro de datos son relativamente variadas y dependen de la magnitud del ataque y de las características de la entidad objetivo, en sus versiones más elaboradas pueden operar como Amenazas Persistentes Avanzadas, que se alojan en el sistema de manera sigilosa de manera continuada en el tiempo.
Existe malware (como Petya) que al ser ejecutado por la víctima se aloja en el registro de arranque. Al reiniciar la máquina el malware desactiva el inicio seguro de Windows, encriptando directamente la tabla maestra de archivos.
Otras variantes, como el RansomWeb Kimcilware, se especializan en encriptar bases de datos de los servicios web para cobrar rescates. Esto se hace capturando y encriptando información “al vuelo”, antes de que quede copiada en la base de datos durante largos periodos. Algo similar pueden hacer herramientas como DMA Locker, Lockt, Cerber o CryptoFortress, que pueden encriptar los recursos capturados en una red SMB.
También existen herramientas para penetrar en sistemas OSX y Linux, incluido Android. Se han reportado casos en queFairWare traslada información a una nube controlada por los atacantes, que dejan un READ_ME.txt en la carpeta root de la web con instrucciones a seguir. Simplelocker por otro lado está abocado a teléfonos con sistemas Android.
El ransomware ha demostrado en muy poco tiempo ser un excelente negocio, a tal punto que ya existe un modelo “Ramsomware-as-a-service”, en que se vende el servicio de secuestro por un porcentaje del botín que es cobrado vía Tor y Bitcoin, como lo han hecho Tox, Fakben, Radamant o más recientemente Ramson32.
Cómo combatirlo
El principal problema para combatirlos es que lo métodos de seguridad tradicionales como los antivirus no son suficientemente efectivos. Según Albert Barnwell, director en España de CyberArk, “el ransomware es un ejemplo de malware polimórfico, que puede cambiar muy pequeños atributos para mantener su efectividad. Esto significa básicamente que cada cepa se transforma en una versión 2.0, que es desconocida y no puede ser identificada por la tecnología antivirus.”
Si bien es recomendable mantener copias de seguridad actualizadas, esta es una solución costosa y no siempre efectiva, pero es un primer paso. También es recomendable implementar listas blancas a nivel de aplicaciones y control de aplicaciones dinámicos a nivel de puntos de acceso a través de listas grises, impiden que aplicaciones desconocidas adquieran privilegios de cifrado.
