Cryptolocker o Ransomware: Qué es y cómo podemos evitarlo

Cryptolocker o Ransomware: Qué es y cómo podemos evitarlo
Índice
  1. Cómo protegerse de la extorsión de CryptoLocker
  2. ¿Cryptolocker es lo mismo que ransomware?
  3. ¿Cómo funciona un criptobloqueador?
  4. ¿Cómo se puede prevenir un Cryptolocker?
  5. Ahorre millones de dólares en costos de filtración de datos con la protección contra ransomware

Cómo protegerse de la extorsión de CryptoLocker

En una era de crecientes amenazas a la seguridad cibernética, es de suma importancia para las PYMES, así como para las grandes empresas, ser plenamente conscientes de todas las amenazas cibernéticas de tecnología de la información (TI) que pueden resultar en una costosa violación de datos. Si bien la ocurrencia de filtraciones de datos maliciosas ha aumentado, y las diferentes formas de vectores de ataque de seguridad activos y pasivos y los ataques de día cero van en aumento, una de las formas de malware más dañinas y cada vez más significativas es el ransomware.

El malware (software malicioso) se clasifica como una amenaza basada en software (programa) que se implementa como carga contra un sistema que contiene una vulnerabilidad. Por lo general, el malware se divide en cuatro categorías:

  • Virus: un virus es un programa o aplicación maliciosa que se implementa en un sistema, generalmente se propaga a través de una red o ataques de ingeniería social relacionados con el correo electrónico, lo que requiere que el usuario se propague y ejecute para que se lleve a cabo la actividad maliciosa.
  • Gusano: Un gusano es una de las formas de malware más poderosas y maliciosas, ya que los gusanos no requieren acciones humanas para propagarse o ejecutarse. Esencialmente, un gusano puede funcionar como un programa autopropagante y autoejecutable que puede pasar desapercibido durante algún tiempo, mientras lleva a cabo sus actividades maliciosas.
  • Troyano: un troyano es un programa que parece inofensivo, pero que en segundo plano funciona de manera maliciosa, por ejemplo, grabando pulsaciones de teclas (keylogger), configurando un proxy y enviando datos a un servidor remoto, o cifrando archivos a la fuerza (es decir, ransomware). Con ese fin, las víctimas suelen descargar y ejecutar troyanos voluntariamente debido a la naturaleza aparentemente inocua de la aplicación.
  • Spyware: las aplicaciones de spyware son programas maliciosos que espían las acciones de un usuario y pueden registrar datos privados y enviarlos a un servidor remoto.

El ransomware es una clase de malware que puede abarcar cualquiera de los vectores anteriores para ejecutarse en un sistema, aunque el ransomware a menudo se implementa como un troyano. Por definición, el ransomware es un tipo de malware que generalmente se implementa con la intención de bloquear los sistemas de TI de una víctima, lo que hace que sus datos privados e importantes sean inaccesibles, lo que hace que el ciberdelincuente malicioso exija un rescate para restaurar el acceso al sistema. El ransomware puede ser tan simple como un programa malicioso que bloquea un sistema a la fuerza o tan complejo como una aplicación de malware que utiliza metodologías complicadas de extorsión criptoviral, donde los sistemas de datos en cuestión están encriptados y se exige un rescate para restaurar el sistema.

Si bien la mayoría de las aplicaciones de ransomware utilizarán un cifrado de bloque simétrico fuerte, como AES-256, algunas usan AES con criptografía de clave pública (similar a RSA) o simplemente usan RSA. Debido a la increíble cantidad de posibles claves de descifrado (2^256), no es práctico forzar un sistema de cifrado de este tipo y, por lo tanto, las empresas a menudo no tienen más remedio que pagar un rescate, que a menudo se realiza a través de una criptomoneda imposible de rastrear como como Bitcoin. Desafortunadamente, desde 2012 hasta hoy, el ransomware ha aumentado considerablemente, con un enfoque específico en extorsionar a las empresas mediante la utilización de infecciones de ransomware de la familia CryptoLocker.

¿Cryptolocker es lo mismo que ransomware?

Ransomware es un término general que abarca una serie de diferentes programas basados ​​en malware que normalmente se utilizan para bloquear el sistema de una víctima, lo que resulta en la exigencia de un rescate. Como se indicó anteriormente, el ransomware se puede utilizar a través de varios vectores de malware (virus, gusanos, troyanos, spyware, etc.) y puede usar varios protocolos de cifrado diferentes. CryptoLocker es un tipo específico o una familia de programas de ransomware, que normalmente usa un troyano y utiliza RSA (o AES con RSA) para el cifrado (criptografía de clave pública), y ha sido históricamente uno de los vehículos de ataque de ransomware más exitosos. Además, CryptoLocker, como familia de ransomware, a menudo implica cualquier tipo de ransomware basado en el troyano Cryptolocker original, cuyo modelo de negocio se basa en extorsionar a los usuarios a través del cifrado del sistema de datos.

La importancia del ransomware no debe subestimarse. Solo Cryptolocker, cuando se implementó en 2013-2014, adquirió un estimado de $ 3,000,000 antes de que fuera eliminado, mientras que los recientes gusanos criptográficos, los programas de malware WannaCry y Petya, extorsionaron más de $ 4 mil millones y más de $ 300 millones en 2017 y 2016 respectivamente. También es importante tener en cuenta que, con respecto a este último (Petya ransomware), es posible utilizar dicho programa para motivos ocultos, ya que los investigadores indican que el El ransomware Petya en realidad no fue diseñado para ganar dinero sino para operar como un ciberataque claro.

Aunque se han realizado avances de seguridad contra ellos, la investigación muestra que a partir de 2016-2017, el ransomware ha alcanzado un récord. Como señaló Jonathan Crowe de Barkly, específicamente, 2017 vio algunos de los mayores brotes de ransomware, lo que resultó en que seis de cada diez cargas útiles maliciosas fueran ransomware en el primer trimestre de 2017. Además, en 2016, Los ataques de ransomware a las empresas se triplicaron. Según los investigadores de la popular aplicación antimalware Malwarebytes, aproximadamente el 60 % de todas las aplicaciones de malware eran ransomware en 2017. Además, según la firma de investigación de ciberseguridad Cybersecurity Ventures, Los costos de daños por ransomware podrían acumularse hasta, y superar, los $ 5 mil millones solo en 2017.

Puedes leer:  Cifrado: Cómo cifrar y descifrar contraseñas de forma manual

Con ese fin, es importante que las empresas empleen las mejores prácticas de seguridad actualizadas y utilicen analistas de malware capacitados, además de utilizar modelos de amenazas y suites antimalware empresariales, para protegerse de la amenaza cada vez más peligrosa que es ransomware, especialmente la familia de ransomware CryptoLocker. Además, nuevo mandatos de cumplimiento de ciberseguridad se están implementando para garantizar que las empresas ejecuten la debida diligencia para garantizar la seguridad completa de los datos privados de sus clientes.

¿Cómo funciona un criptobloqueador?

El ransomware, como clase de malware, suele ser un troyano que infecta los sistemas Windows a través de una red. Sin embargo, es importante tener en cuenta que existe una amplia variedad de métodos mediante los cuales el ransomware puede propagarse y/o ejecutarse. Como se indicó, el ransomware a menudo usa gusanos indetectables que se propagan a través de una red sin intervención humana, mientras que los usuarios malintencionados pueden incluso utilizar zombis de una BotNet para enviar correos electrónicos de spam masivo con la carga maliciosa, como el caso de la botnet Necurs y el ransomware Locky de 2016.

Posteriormente, en 2017, Necurs se utilizó para implementar el troyano Dridex, que aprovechó una vulnerabilidad de día cero de Microsoft Word. Por lo tanto, como se puede ver, hay muchas superficies de ataque que deben analizarse y cubrirse, y muchas posibles vulnerabilidades que plausiblemente pueden ser explotadas por diferentes tipos de ransomware.

CryptoLocker, como en el ataque de ransomware de 2013 y posteriores, utilizó una botnet (Gameover Zeus BotNet) para propagar el malware a través de archivos adjuntos de correo electrónico infectados y funcionó como un troyano para infectar computadoras con Microsoft Windows. Luego, el malware cifra el sistema de datos con una clave AES de 256 bits y utiliza un criptosistema asimétrico de clave pública basado en RSA para la comunicación y la protección de la clave, en el que luego muestra un mensaje que exige el pago a través de Bitcoin. Cryptolocker, específicamente, ofreció el descifrado si se realizó el pago y también amenazó con eliminar los datos privados si el pago no se realizaba antes de la fecha límite. Por supuesto, como con todo el malware, nunca hay garantía de que el los datos serán descifrados y/o liberados al propietario si se realiza el pago.

Además, el CryptoLocker original generó clones, como CryptoWall, Crypt0L0cker, TorrentLocker, etc, y creó una familia de ransomware de cifrado de datos que continúa creciendo en número y magnitud.

CryptoWall, por ejemplo, funcionaba de manera similar a CryptoLocker en el sentido de que el malware (troyano) se propagaba a través del correo electrónico no deseado y a través de ataques de abrevadero y cargas útiles maliciosas en la web. Al mismo tiempo, TorrentLocker funcionaba como ransomware troyano se difundió principalmente a través del correo electrónico y, según los investigadores, generó una clave AES de 256 bits, que se encriptó a través de una clave pública (RSA) de 2048 bits, lo que resultó en el cifrado de ciertos archivos (con ciertas extensiones) a través de la clave AES. A lo largo del proceso, el ransomware se comunica a través de una red con su servidor de mando y control (CC).

Instalación de malware

CryptoLocker utilizó muchas variedades de ingeniería social para engañar a las víctimas para que ejecutaran el troyano ransomware en sus sistemas. La ingeniería social es el uso de metodologías de manipulación psicológica para que las víctimas realicen una acción que normalmente permite a una persona malintencionada ejecutar un programa malicioso, explotar y penetrar en un sistema u obtener información valiosa para fines maliciosos. Dado que el eslabón más débil de cualquier sistema de TI es el personal que utiliza los recursos de TI, se dice que la ingeniería social es la forma más poderosa de piratería, aunque es totalmente evitable.

Cifrado de archivos

Una vez que el usuario malicioso ha engañado a la víctima para que descargue y/o ejecute el archivo malicioso, el ransomware (troyano) genera una clave simétrica aleatoria (AES-256) para cada archivo que cifra y cifra el contenido del archivo con el algoritmo AES, utilizando ese llave. Por lo general, la clave también se cifra con un algoritmo de cifrado 2048-RSA. Una vez que los archivos están encriptados, es virtualmente imposible usar fuerza bruta en el criptosistema para descifrar los archivos, razón por la cual las aplicaciones de ransomware son programas de malware tan poderosos y peligrosos.

Pago de rescate

Cuando el troyano termina de cifrar todos los archivos que cumplen las condiciones antes mencionadas, muestra un mensaje que solicita al usuario que realice un pago de rescate, generalmente con un límite de tiempo para enviar el pago. Por lo general, se utiliza un tipo de sistema de pago imposible de rastrear, como BitCoin u otro tipo de criptomoneda. Si no se cumple el plazo, se destruye la clave privada guardada por el autor del malware, se revelan los datos al público o se eliminan los datos privados.

¿Cómo se puede prevenir un Cryptolocker?

Hay varias formas en que una empresa puede evitar que un programa de ransomware basado en CryptoLocker infecte sus sistemas. Si bien el uso de modelos de amenazas y el empleo de los servicios de analistas de malware son prácticas estándar, otras mejores prácticas, como utilizar suites antimalware empresariales – son igualmente importantes. Además, como señaló WeLiveSecurity, hay una serie de otras prácticas que se pueden usar para defenderse contra el ransomware, como hacer copias de seguridad de datos privados con regularidad, filtrar ejecutables en correos electrónicos, aplicar parches a los sistemas empresariales con regularidad y proteger los sistemas empresariales en la nube.

También cabe destacar que CryptoLocker generalmente se ejecuta desde las carpetas de Datos de la aplicación o Datos de la aplicación local; por lo tanto, es posible deshabilitar la ejecución de archivos desde esas carpetas. Utilizando el Kit de prevención de CryptoLocker también es una solución viable para ayudar a las empresas a permanecer protegidas contra dicho ransomware. Con respecto a la seguridad de la nube empresarial, es importante tener en cuenta que incluso las unidades en la nube que se asignan localmente se pueden cifrar mediante ransomware.

Puedes leer:  HTTPS: Configuración de puertos para una conexión segura

Tenga cuidado con los correos electrónicos

Los ataques de ransomware basados ​​en CryptoLocker generalmente se propagan por correo electrónico como archivos adjuntos infectados. Dado que la carga útil del troyano requiere la interacción del usuario, es importante que todo el personal sea muy cauteloso al abrir archivos adjuntos de correo electrónico y que solo abra archivos adjuntos de personas de confianza. Además, los escáneres de seguridad se pueden implementar para escanear correos electrónicos en busca de cargas maliciosas y/o programas de malware.

Copia de seguridad de sus datos

Dado que el ransomware se basa en la capacidad innata de bloquear a los usuarios de sus propios sistemas y, a menudo, amenaza con eliminar dichos datos confidenciales, una de las defensas más importantes contra el ransomware es la copia de seguridad periódica de todos los datos empresariales confidenciales. Por lo tanto, si una infección de ransomware cifra datos comerciales confidenciales, existirán copias de seguridad para anular los efectos del ransomware, lo que permitirá a la empresa rechazar el pago del rescate.

Al mismo tiempo, es importante tener en cuenta que algunos autores de ransomware exigen el pago con la amenaza de revelar al público datos confidenciales y encriptados. Aunque es raro, en esa circunstancia, la copia de seguridad de los datos no previene ni soluciona el problema, mientras que la adopción de las mejores prácticas para prevenir la infección inicial sí lo hace.

Mostrar extensiones de archivo ocultas

Los programas CryptoLocker/ransomware a menudo llegan con extensiones de archivo claramente sospechosas, como PDF.EXE. Permitir que Windows (o cualquier sistema operativo que se esté utilizando) vea y muestre extensiones de archivos ocultas es clave para que el personal pueda detectar archivos sospechosos que pueden ser ransomware.

Deshabilitar archivos que se ejecutan desde las carpetas Appdata/Localappdata

CryptoLocker generalmente se ejecuta desde las carpetas de Windows AppData o LocalAppData, por lo que deshabilitar la capacidad de que los archivos se ejecuten desde esas carpetas puede detener el ransomware mortal en seco.

Deshabilitar RDP

El ransomware a menudo se propaga a través de las redes a través del Protocolo de escritorio remoto (RDP), que es un protocolo que permite al personal (generalmente administradores de sistemas) acceder a los sistemas empresariales de forma remota. Cuando los usuarios maliciosos usan escáneres de puertos y ven un puerto RDP abierto, pueden intentar implementar una carga útil de ransomware en los sistemas de una empresa de forma remota a través de RDP. Deshabilitar RDP, si es factible para una empresa hacerlo, puede evitar que ocurra un ataque de malware de este tipo.

Limite el acceso del usuario final a las unidades asignadas

Al igual que con RDP, las unidades asignadas permiten a un usuario acceder a una unidad en otra computadora, generalmente a través de una red. Dicho acceso remoto puede ser utilizado por personas malintencionadas para implementar malware en una red al obtener acceso a unidades mapeadas, lo que puede ser el primer paso para infectar una red o sistema comercial completo.

Emplee escaneo y filtrado de contenido en sus servidores de correo

Dado que la mayoría de los programas de ransomware se implementan a través de vectores de archivos adjuntos de correo electrónico, el uso de escáneres y sistemas de filtrado en los servidores de correo electrónico es una forma importante de defenderse contra el ransomware basado en CryptoLocker, lo que garantiza que no haya ejecutables maliciosos presentes en un correo electrónico (como archivo adjunto o de otro modo).

Eduque a sus empleados

Como se señaló anteriormente, el eslabón más débil en cualquier sistema de TI es el usuario. Dado que el ransomware generalmente funciona a través de la ingeniería social, es importante educar al personal sobre todas las metodologías y lugares para la infección del sistema. Cuanto más educado sea el personal, es menos probable que un empleado caiga en las tácticas de ingeniería social que emplean las personas malintencionadas para garantizar que sus aplicaciones de ransomware se ejecuten como se desea.

Sistemas de parches regularmente

Uno de los métodos más importantes para defenderse contra el ransomware es aplicar parches a los sistemas con regularidad, lo que ayuda a cerrar las vulnerabilidades del sistema que a menudo explotan los programas de ransomware. Por ejemplo, los programas de ransomware Petya y WannaCry de 2017 se ejecutaron a través de un exploit conocido parcheado por Microsoft, mientras que la mayoría de los sistemas sin parches fueron víctimas del software malicioso. La aplicación de parches es un método de defensa de primera línea para prevenir infecciones de ransomware en los sistemas comerciales.

Ahorre millones de dólares en costos de filtración de datos con la protección contra ransomware

El ransomware es una amenaza creciente y es probable que no desaparezca pronto. A medida que las personas malintencionadas continúan creando versiones más complicadas del programa de ransomware CryptoLocker original, las empresas deben informarse sobre cómo proteger sus sistemas confidenciales para que no se infecten. Si bien la adopción de las mejores prácticas de seguridad estándar es clave, también es importante adoptar métodos de defensa más avanzados, como usar el kit de prevención CryptoLocker, usar filtros/escáneres de correo electrónico, realizar copias de seguridad de los sistemas comerciales confidenciales con frecuencia y aplicar parches a los sistemas con regularidad. Proteger con éxito un sistema empresarial del ransomware puede significar la diferencia entre una filtración de datos costosa o un episodio de pérdida de datos y ahorrar millones, o incluso miles de millones, de dólares al año.


Si quieres conocer otros artículos parecidos a Cryptolocker o Ransomware: Qué es y cómo podemos evitarlo puedes visitar la categoría Seguridad.

Entradas Relacionadas 👇👇

Go up