Tal como lo indica su nombre (Ransom = Rescate), el Ransomware fue diseñado para secuestrar el acceso a los archivos de las computadoras y así poder pedir un rescate. La variante que cifra los archivos también es conocida como CryptoLocker. Generalmente es distribuido a través del envío de mails, páginas web previamente atacadas o a través de troyanos preinstalados en los equipos de las víctimas, afectando principalmente a los sistemas operativos Windows.
Un caso de Ransomware se presenta como un archivo comprimido (generalmente con la extensión ZIP) y al abrirlo la víctima se encuentra con archivos de formatos “supuestamente” PDF. Decimos supuestamente porque en realidad son archivos EXE (ejecutables) a los que se les agrega la 290extensión PDF aprovechando la funcionalidad preactivada de Windows que oculta las extensiones. Una vez que la víctima ejecuta este falso PDF, comienza todo. Como primera medida el malware se instala (generalmente en la carpeta Mis Documentos) otorgándose un nombre aleatorio, para luego crear una entrada en el registro de Windows y así poder activarse en caso que el equipo se apague. Una vez concretado lo anterior, intenta conectarse a los servidores donde se aloja su centro de control. En la mayoría de los casos son equipos previamente atacados, a los cuales los atacantes mantienen el acceso sin que sus dueños estén enterados. De esta manera mantienen el anonimato en caso de ser rastreados.
Una vez conectados se generan el par de claves “Pública” y “Privada”, utilizando para ello el algoritmo RSA de 2048 bits. La clave pública se usa para cifrar los distintos archivos de la víctima (generalmente los archivos a cifrar son extensiones DOC, PDF, XLS, imágenes, archivos CAD y cualquier otro que se presuponga de importancia para el usuario), mientras que la clave privada quedara en el equipo del cual el atacante posee el control y la misma es la única que podrá descifrar los archivos.
Acto seguido se muestra un mensaje en pantalla (Figura 2) donde se indica que se han cifrado los archivos y que para poder descifrarlos se tendrá que pagar un rescate. Generalmente se da la opción de pago a través de medios que ayuden a mantener el anonimato, como BitCoins o MoneyPak (tarjetas prepagas) (Figura 3 y Figura 4). A este mal momento se suma una cuenta regresiva (generalmente de 72 horas) indicando que al término de un tiempo la clave privada se destruirá y no se podrán recuperar los datos.
Pago de rescate
En caso que la víctima acceda a pagar el rescate, se le mostrará un mensaje donde se indica que la transacción esta siendo llevada a cabo de manera manual, por lo que es posible que tarde hasta 2 días hábiles en ser concretada (Figura 4).
Sin embargo, el tiempo para la destrucción de la clave privada se detendrá el tiempo que tarde el proceso de pago. Una vez realizada la transacción, comenzará el descifrado de los archivos y al final del mismo podrá observarse un aviso donde se indica que en caso que algún archivo no haya podido ser descifrado, el mismo deberá pegarse en el escritorio para reintentar descifrarlo. Si todo resultase bien se podrá hacer sobre el botón [Cancelar] e inmediatamente se desinstalará el malware. En teoría ya podremos acceder a los datos que habían sido “secuestrados”.
Como agravante, se debe sumar el dilema si pagar o no. Y en caso que así decida hacerlo, deberá confiar en la “buena voluntad” del delincuente.
Han existido muchos casos en los que se pagó el rescate y se pudo recuperar el acceso a los archivos sin mayores problemas; pero también existieron otros tantos donde no se obtuvo una respuesta por más que se haya pagado. Desde distintos sitios oficiales pertenecientes a agencias de seguridad no se recomienda el pago del rescate, ya que de esta manera se estaría fomentando el crecimiento de este tipo de delitos.
Ransomware ayer y hoy
Desde sus inicios el Ransomware tuvo como único objetivo obtener el mayor número de víctimas posibles sin realizar segmentación alguna. Para ello se enviaban campañas de phishing masivas a distintas cuentas de mails con dominios públicos (Hotmail, Gmail, Yahoo!, etc). Las direcciones se obtenían a través de fuentes públicas (foros, listas de mails, etc.), como también recurriendo a la compra ilegal de bases de datos.
Una de las primeras acciones que realizaban este tipos de ataques era el bloquear los equipos de sus víctimas dejándolas sin acceso. Tiempo después pudo observarse una variante que actuaba cifrando archivos vitales para el usuario, haciéndoles llegar a las víctimas mensajes con supuesta procedencia del FBI u otras agencias federales (dependiendo del país). Generalmente se acusaba a las personas de infringir distintas leyes al visitar sitios de pornografía y tener almacenadas imágenes y videos de igual clasificación.
Hoy en día se está observando un aumento notable y una clara segmentación, donde el objetivo ya deja de ser el “usuario común” para pasar a ser empresas y gobiernos. Así, las campañas de phishing son dirigidas a dominios gubernamentales y corporativos (@policia.com, @gobierno.com, @empresa.com, etc.).
Algo muy alarmante también son los crecientes ataques a la plataforma móvil Android . Allí los ciberdelincuentes aprovechan el “descuido” de la gran mayoría de los usuarios para poder obtener el control de los dispositivos y de esa manera replicar las técnicas que utilizaban sobre las PCs de escritorio y notebooks.
Cómo prevenirlo
A continuación veremos una serie de pasos y consejos a seguir para evitar ser víctima del Ransomware:
– Mantener todo el software del equipo actualizado.
– Asegurarse que las actualizaciones automáticas estén activas para poder de esta manera recibir los últimos parches de seguridad de Microsoft.
– Mantener activado el firewall.
– Usar un bloqueador de ventanas emergentes.
– Los archivos maliciosos ocultan su verdadera naturaleza
