Académique Documents
Professionnel Documents
Culture Documents
La
revolucin del ransomware.
Story of the Year
Anton Ivanov, David Emm, Fedor Sinitsyn, Santiago Pontiroli - diciembre 8, 2016. 8:54 am
Introduccin
En 2016, el ransomware contina cometiendo sus fechoras alrededor del mundo, infectando archivos,
dispositivos y usuarios individuales y corporativos.
Pero a la vez, en este ao el mundo comenz a unirse para devolver los golpes:
El proyecto No More Ransom se lanz en julio, con la participacin de la polica holandesa, Europol,
Interl Security y Kaspersky Lab. En octubre, otras 13 organizaciones se unieron al proyecto. Esta
colaboracin dio como resultado, entre otros, una serie de herramientas descifradoras en lnea gratuitas
que han ayudado a miles de usuarios vctimas a recuperar su informacin.
Esta es slo la punta del tmpano, pues an queda mucho por hacer. Juntos podemos lograr
mucho ms de lo que podemos por separado.
Qu es el ransomware?
Llegadas y salidas
Cerber y Locky llegaron a principios de la primavera. Ambas son desagradables y virulentas cepas de
ransomware que se propagan ampliamente, especialmente a travs de archivos spam adjuntos y
paquetes de exploits. Les tom muy poco tiempo convertirse en protagonistas, atacando a usuarios
individuales y corporativos. Pero CryptXXX no se quedaba atrs. Estas tres familias continan
evolucionando en sus intentos de chantajear al mundo junto a otros actores ya establecidos, como CTB-
Locker, CryptoWall y Shade.
Porcentaje de
Nombre Veredictos*
usuarios**
Trojan-Ransom.Win32.Onion
1 CTB-Locker / 25,32
Trojan-Ransom.NSIS.Onion
Trojan-Ransom.Win32.Locky
2 Locky / 7,07
Trojan-Dropper.JS.Locky
TeslaCrypt (activo hasta mayo Trojan-
3 6,54
de 2016) Ransom.Win32.Bitman
Trojan-Ransom.Win32.Scatter
/
Trojan-Ransom.BAT.Scatter /
4 Scatter 2,85
Trojan-Downloader.JS.Scatter
/
Trojan-Dropper.JS.Scatter
5 Cryakl Trojan-Ransom.Win32.Cryakl 2,79
Trojan-
6 CryptoWall 2,36
Ransom.Win32.Cryptodef
7 Shade Trojan-Ransom.Win32.Shade 1,73
Trojan-
8 (veredicto genrico) 1,26
Ransom.Win32.Snocry
9 Crysis Trojan-Ransom.Win32.Crusis 1,15
10 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 0,90
*Estos datos estadsticos se basan en los veredictos de deteccin generados por los productos de
Kaspersky Lab, proporcionados voluntariamente por los usuarios de los productos de Kaspersky Lab.
**Porcentaje de usuarios en la mira de una determinada familia de programas ransomware cifradores,
en relacin al total de usuarios en la mira de programas ransomware cifradores.
Despus, en julio, se publicaron unas 3 500 llaves de Chimera, aparentemente por alguien involucrado
con Petya/Mischa. Sin embargo, puesto que Petya usaba parte del cdigo fuente de Chimera para sus
propios programas ransomware, podra tratarse del mismo grupo que est actualizando sus productos
y ocasionando este barullo.
De igual forma, Wildfire, tras la captura de sus servidores y de que Kaspersky Lab, Intel Security y la
polica holandesa en una accin conjunta desarrollaran una llave de descifrado, ahora parece haber
resurgido como Hades.
Unos investigadores con buenas intenciones desarrollaron ransomware educativo con el fin de
proporcionar a los administradores de sistemas una herramienta para simular ataques de ransomware
y poner a prueba sus defensas. Pero los ciberpiratas capturaron rpidamente estas herramientas y las
emplearon para conseguir sus propios fines maliciosos.
En 2016 surgieron nuevas tcnicas en los ataques con ransomware, incluyendo el cifrado de discos,
el bloqueo del acceso a los datos, o su cifrado. Petya es un ejemplo de estos programas: desorganiza
el ndice principal del disco duro capturado imposibilitando su reinicio. Otro troyano, Dcryptor,
tambin conocido como Mamba, incluso llega a bloquear todo el disco duro. Este ransomware es
particularmente desagradable porque, utilizando una copia del cdigo abierto de DiskCryptor,
desorganiza todos los sectores del disco duro, incluyendo el sistema operativo, aplicaciones,
archivos compartidos y datos personales.
La infeccin que causa Dcrypter se realiza de forma manual, pues los atacantes aplican fuerza bruta
contra las contraseas para acceder y controlar a distancia el equipo de la vctima. Aunque no es
novedosa, esta tcnica sobresali en 2016 como una forma de atacar servidores y penetrar un
sistema corporativo.
Tras concretar el ataque, el troyano se instala y cifra los archivos en el servidor y probablemente
tambin aquellos en todos los recursos compartidos accesibles desde el servidor. Descubrimos
que TeamXRat utiliza esta tcnica para propagar sus programas ransomware en servidores
brasileos.
En agosto descubrimos una muestra de Shade que tena un funcionamiento inesperado: si un equipo
infectado perteneca a servicios financieros, entonces descargaba e instalaba un programa spyware,
quizs con el objetivo a largo plazo de robar dinero.
Muchos de los nuevos troyanos ransomware detectados en 2016 resultaron ser de pobre calidad, muy
simples, con fallas en el software y errores chapuceros en los avisos de rescate.
Probablemente la imitacin ms significativa que descubrimos este ao fue Polyglot, tambin conocido
como MarsJoke. Imita en su totalidad la apariencia y la tcnica de procesamiento de archivos de CTB-
Locker.
A medida que crezca la popularidad del ransomware y que ciberpiratas de poca monta decidan entrar
en Internet, es probable que sigamos encontrando ms ransomware que carezca de la calidad
necesaria o cuyos autores no tengan la capacitacin necesaria, como programadores, para mantener
su promesa. Prevemos que programas ransomware del tipo skiddie bloquearn el acceso a los archivos
o al sistema de la vctima o simplemente eliminarn sus archivos, y la engaarn exigindole un rescate
sin devolverle nada.
Si bien el ransomware como servicio no es una tendencia reciente, en 2016 este modelo de propagacin
sigui su evolucin, incluso con ms autores que ofrecan sus productos maliciosos a pedido. Esta
tcnica ha demostrado ser de gran atractivo para ciberpiratas con capacidades o recursos limitados, o
con poca inclinacin a desarrollar sus propios programas.
El socio suele suscribirse a un acuerdo tradicional de comisiones. Por ejemplo, la tabla de pagos de
Petya muestra que si un socio recauda 125 Bitcoins por semana, su ingreso neto despus de la comisin
ser de 106,25 Bitcoins.
Tabla de pagos de Petya
Tambin existe un pago inicial por uso. Por ejemplo, alguien que quiera usar Stompado slo necesita
39 dlares americanos.
Con tantas ofertas de servicios de distribucin de spam, avisos de rescate, etc., a un aspirante no le
resulta difcil iniciarse en este mundo delictivo.
Los atacantes ms profesionales ofrecen a sus vctimas una mesa de ayuda y soporte tcnico para
ayudarles en el proceso de compra de Bitcoins para pagar el rescate, y hasta pueden mostrarse abiertos
a negociar. La vctima se siente ms animada a pagar a cada paso que da.
Durante 2016, las familias de ransomware ms populares privilegiaron los pagos en Bitcoins. La mayora
de los rescates exigidos no eran excesivos, alrededor de 300 dlares americanos, aunque algunos
exigan (y cobraban) mucho ms.
Otros, especialmente en operaciones regionales y artesanales, preferan una opcin local de pago,
aunque esto significara que ya no podran ocultarse y confundirse en el ruido del ransomware.
El ransomware pone la mira en las compaas
En el primer trimestre de 2016, el 17% de los ataques apuntaban a compaas; esto equivale a un ataque
contra una empresa en alguna parte del planeta cada dos minutos[i]. Al final del tercer trimestre, esta cifra
se increment en un 23,9%, es decir, un ataque cada 40 segundos.
El 42% de las empresas pequeas y medianas sufri un ataque de ransomware en los ltimos 12
meses.
El 32% de ellas pag el rescate.
Una de cada cinco nunca recuper sus archivos despus de pagar el rescate.
El 67% de los afectados perdi parte de sus datos corporativos, y uno de cada cuatro perdi muchas
semanas tratando de restaurar el acceso.
Mediante la tecnologa
Las ltimas versiones de los productos de Kaspersky Lab para pequeas empresas vienen mejoradas
con funciones de proteccin contra programas maliciosos cifradores. Asimismo, una nueva y
gratuita herramienta anti-ransomware est disponible para que todas las empresas la descarguen y
usen, cualquiera que sea la solucin de seguridad que tengan.
Kaspersky Security Network rpidamente verifica la reputacin de los archivos y de la URL de un sitio
mediante la nube, y System Watcher monitorea el comportamiento de los programas, ofreciendo una
proteccin proactiva contra versiones an desconocidas de troyanos. Lo ms importante es que esta
herramienta respalda los archivos abiertos por aplicaciones sospechosas y revierte los cambios en caso
de que las acciones de esos programas resulten ser maliciosas.
El 25 de julio de 2016, la polica holandesa, Europol, Intel Security y Kaspersky Lab anunciaron el
lanzamiento del proyecto No More Ransom, una iniciativa no comercial que rene a organizaciones
privadas y pblicas con el fin de informar al pblico sobre los peligros del ransomware y ayudar a las
vctimas a recuperar sus datos.
El portal web contiene ocho herramientas de descifrado, cinco de las cuales fueron desarrolladas por
Kaspersky Lab. Estas herramientas ayudan a restaurar los archivos cifrados por ms de 20 tipos de
programas cifradores maliciosos. Hasta la fecha, ms de 4 400 vctimas han logrado recuperar sus datos,
y se han ahorrado ms de un milln y medio de dlares en pagos de rescate.
No More Ransom ha ayudado a 4 400 usuarios a recuperar sus datos y
ha evitado que los ciberpiratas se ganen ms de un milln y medio de
dlares en extorsiones. #KLReport
En octubre, las autoridades de otros 13 pases se unieron al proyecto, incluyendo: Bosnia y Herzegovina,
Bulgaria, Colombia, Francia, Hungra, Irlanda, Italia, Letonia, Lituania, Portugal, Espaa, Suiza y Reino
Unido.
Eurojust y la Comisin Europea tambin apoyan los objetivos del proyecto, y se espera que ms actores
del sector privado y autoridades se sumen a esta iniciativa.
Urgimos a las vctimas a que informen si sufren un ataque. Cada vctima posee
una pieza esencial de evidencia que proporciona una informacin muy valiosa.
A cambio, los mantendremos informados y protegidos contra aquellas ofertas
de terceras partes dudosas para descifrar datos. Pero es necesario que ms
autoridades sepan cmo lidiar con la ciberdelincuencia.
[i] Estimaciones basadas en: el 17% de 372 602 usuarios nicos en cuyos equipos los productos de
Kaspersky Lab neutralizaron ataques de ransomware en el primer trimestre de 2016, y el 23,9% de 821
865 usuarios nicos en cuyos equipos los productos de Kaspersky Lab neutralizaron ataques de
ransomware en el el tercer trimestre de 2016.