Boletn de seguridad de KASPERSKY 2016.

La
revolucin del ransomware.
Story of the Year

Anton Ivanov, David Emm, Fedor Sinitsyn, Santiago Pontiroli - diciembre 8, 2016. 8:54 am

Introduccin
En 2016, el ransomware contina cometiendo sus fechoras alrededor del mundo, infectando archivos,
dispositivos y usuarios individuales y corporativos.

Los nmeros hablan por s mismos:

Aparecieron 62 nuevas familias de ransomware.

Las modificaciones de ransomware se multiplicaron once veces: de 2 900 nuevas modificaciones en
enero/marzo, a 32 091 en julio/septiembre.
Los ataques contra empresas se triplicaron entre enero y el final de septiembre: en el primer mes,
se lanzaba un ataque cada dos minutos; en el ltimo, uno cada 40 segundos.
En lo que respecta a los usuarios individuales, el incremento fue de un ataque cada 20 segundos a
un ataque cada 10 segundos.
Una de cada cinco empresas pequeas y medianas que pagaron el rescate, nunca recuperaron su
datos.
En 2016 el ransomware creci en trminos de sofisticacin y diversidad y tuvieron lugar los
siguientes fenmenos: cambio de estrategia al detectar software financiero, escritura en lenguajes de
archivos de rdenes, explotacin de nuevas vas de infeccin, mayor selectividad de los blancos, oferta
de ransomware llave en mano como servicio, soluciones para los menos experimentados, con menos
recursos o poco tiempo, y todo esto mediante un ecosistema clandestino cada vez ms eficiente.

Pero a la vez, en este ao el mundo comenz a unirse para devolver los golpes:

El proyecto No More Ransom se lanz en julio, con la participacin de la polica holandesa, Europol,
Interl Security y Kaspersky Lab. En octubre, otras 13 organizaciones se unieron al proyecto. Esta
colaboracin dio como resultado, entre otros, una serie de herramientas descifradoras en lnea gratuitas
que han ayudado a miles de usuarios vctimas a recuperar su informacin.

Esta es slo la punta del tmpano, pues an queda mucho por hacer. Juntos podemos lograr
mucho ms de lo que podemos por separado.

Qu es el ransomware?

El ransomware se presenta en dos formatos. El ms comn es el ransomware cifrador. Este tipo de

ransomware cifra los datos en el dispositivo de la vctima y exige un rescate para su restauracin. Por
el contrario, los bloqueadores no afectan a los datos almacenados en el dispositivo. En lugar de cifrarlos,
impiden que la vctima acceda a ellos. El rescate exigido, cuyo aviso aparece en toda la pantalla, suele
imitar una advertencia de alguna autoridad informando que la vctima ha accedido a contenidos ilegales
en la web y que debe pagar una multa. Este es un ejemplo de ambas formas de ransomware.

Ransomware: principales tendencias y descubrimientos en 2016

Gran parte del ransomware prospera gracias a una dudosa relacin de confianza entre la vctima y el
atacante, es decir, que una vez que se efecte el pago del rescate, se recuperarn los datos
secuestrados. Los ciberpiratas han mostrado sorprendente profesionalismo en el cumplimiento de su
promesa.

GReAT: Predicciones de amenazas para 2017

Llegadas y salidas

Llegadas: en 2016, el mundo salud a Cerber, Locky y CryptXXX. Y a 44 287 modificaciones

nuevas de ransomware

Cerber y Locky llegaron a principios de la primavera. Ambas son desagradables y virulentas cepas de
ransomware que se propagan ampliamente, especialmente a travs de archivos spam adjuntos y
paquetes de exploits. Les tom muy poco tiempo convertirse en protagonistas, atacando a usuarios
individuales y corporativos. Pero CryptXXX no se quedaba atrs. Estas tres familias continan
evolucionando en sus intentos de chantajear al mundo junto a otros actores ya establecidos, como CTB-
Locker, CryptoWall y Shade.

Por su parte, Locky se ha propagado en 114 pases. #KLReport

Hasta octubre de 2016, las principales familias de ransomware detectadas por los productos de
Kaspersky Lab son:

Porcentaje de
Nombre Veredictos*
usuarios**
Trojan-Ransom.Win32.Onion
1 CTB-Locker / 25,32
Trojan-Ransom.NSIS.Onion
Trojan-Ransom.Win32.Locky
2 Locky / 7,07
Trojan-Dropper.JS.Locky
TeslaCrypt (activo hasta mayo Trojan-
3 6,54
de 2016) Ransom.Win32.Bitman
Trojan-Ransom.Win32.Scatter
/
Trojan-Ransom.BAT.Scatter /
4 Scatter 2,85
Trojan-Downloader.JS.Scatter
/
Trojan-Dropper.JS.Scatter
5 Cryakl Trojan-Ransom.Win32.Cryakl 2,79
Trojan-
6 CryptoWall 2,36
Ransom.Win32.Cryptodef
7 Shade Trojan-Ransom.Win32.Shade 1,73
Trojan-
8 (veredicto genrico) 1,26
Ransom.Win32.Snocry
9 Crysis Trojan-Ransom.Win32.Crusis 1,15
10 Cryrar/ACCDFISA Trojan-Ransom.Win32.Cryrar 0,90

*Estos datos estadsticos se basan en los veredictos de deteccin generados por los productos de
Kaspersky Lab, proporcionados voluntariamente por los usuarios de los productos de Kaspersky Lab.
**Porcentaje de usuarios en la mira de una determinada familia de programas ransomware cifradores,
en relacin al total de usuarios en la mira de programas ransomware cifradores.

Salidas: Adis a Teslascrypt, Chimera y Wildfire al menos as parece

Probablemente la mayor sorpresa en 2016 fue la clausura de TeslaCrypt y la posterior publicacin de su
llave maestra, aparentemente por parte de sus mismos autores.

TeslaCrypt se suicid, mientras que las autoridades clausuraron

Encryptor RaaS y Wildfire. #KLReport
Encryptor RaaS, uno de los primeros troyanos en ofrecer ransomware como un modelo de servicio a
otros ciberpiratas, cerr sus actividades despus de que parte de su red de robots fuese desmontada
por las autoridades.

Despus, en julio, se publicaron unas 3 500 llaves de Chimera, aparentemente por alguien involucrado
con Petya/Mischa. Sin embargo, puesto que Petya usaba parte del cdigo fuente de Chimera para sus
propios programas ransomware, podra tratarse del mismo grupo que est actualizando sus productos
y ocasionando este barullo.

De igual forma, Wildfire, tras la captura de sus servidores y de que Kaspersky Lab, Intel Security y la
polica holandesa en una accin conjunta desarrollaran una llave de descifrado, ahora parece haber
resurgido como Hades.

Abuso del ransomware educativo

Unos investigadores con buenas intenciones desarrollaron ransomware educativo con el fin de
proporcionar a los administradores de sistemas una herramienta para simular ataques de ransomware
y poner a prueba sus defensas. Pero los ciberpiratas capturaron rpidamente estas herramientas y las
emplearon para conseguir sus propios fines maliciosos.

El ransomware desarrollado con fines educativos dio origen a

Ded_Cryptor y a Fantom, entre otros. #KLReport
El desarrollador del ransomware educativo Hidden Tear & EDA2 public, de buena fe, el cdigo fuente
en GitHub. Inevitablemente, en 2016 aparecieron varios troyanos maliciosos desarrollados en base a
este cdigo. Entre ellos est Ded Cryptor, que cambiaba el fondo de pantalla de la computadora de la
vctima por la imagen de un Santa Claus de aspecto diablico, y exiga un ambicioso rescate de dos
Bitcoins (unos 1300 dlares americanos). Otro de estos programas fue Fantom, que simulaba una
pantalla genuina de actualizacin de Windows.
Tcnicas no convencionales

Por qu molestarse con un archivo si se puede capturar todo el disco?

En 2016 surgieron nuevas tcnicas en los ataques con ransomware, incluyendo el cifrado de discos,
el bloqueo del acceso a los datos, o su cifrado. Petya es un ejemplo de estos programas: desorganiza
el ndice principal del disco duro capturado imposibilitando su reinicio. Otro troyano, Dcryptor,
tambin conocido como Mamba, incluso llega a bloquear todo el disco duro. Este ransomware es
particularmente desagradable porque, utilizando una copia del cdigo abierto de DiskCryptor,
desorganiza todos los sectores del disco duro, incluyendo el sistema operativo, aplicaciones,
archivos compartidos y datos personales.

Ahora, los atacantes estn apuntando a las copias de resguardo

y los discos duros, y estn utilizando fuerza bruta contra las
contraseas. #KLReport
La tcnica de infeccin manual

La infeccin que causa Dcrypter se realiza de forma manual, pues los atacantes aplican fuerza bruta
contra las contraseas para acceder y controlar a distancia el equipo de la vctima. Aunque no es
novedosa, esta tcnica sobresali en 2016 como una forma de atacar servidores y penetrar un
sistema corporativo.

Tras concretar el ataque, el troyano se instala y cifra los archivos en el servidor y probablemente
tambin aquellos en todos los recursos compartidos accesibles desde el servidor. Descubrimos
que TeamXRat utiliza esta tcnica para propagar sus programas ransomware en servidores
brasileos.

Infeccin dos en uno

En agosto descubrimos una muestra de Shade que tena un funcionamiento inesperado: si un equipo
infectado perteneca a servicios financieros, entonces descargaba e instalaba un programa spyware,
quizs con el objetivo a largo plazo de robar dinero.

Shade descargaba programas spyware si detectaba software

financiero. #KLReport
Ransomware en lenguajes de script
Otra tendencia que llam nuestra atencin en 2016 fue el creciente nmero de cifradores escritos en
lenguajes de script. Slo en el tercer trimestre detectamos varias familias nuevas escritas en Python,
adems de HolyCrypt y CryPy, as como Stompado, escritos en AutoIt, el lenguaje utilizado en
automatizacin.

Una larga fila de principiantes e imitadores

Muchos de los nuevos troyanos ransomware detectados en 2016 resultaron ser de pobre calidad, muy
simples, con fallas en el software y errores chapuceros en los avisos de rescate.

Los programas ransomware de pobre calidad aumentan la posibilidad

de que los datos se pierdan para siempre. #KLReport
A esto le acompaaba un incremento en el ransomware de imitacin. Entre otras cosas, encontramos
que:

Bart copia el aviso de rescate y el estilo de la pgina de pagos de Locky.

Una imitacin basada en Autoit de Locky (denominada AutoLocky) usa la misma extensin .locky.
Crusis (tambin conocido como Crysis) imita la extensin .xtbl originalmente usada por Shade.
Xorist copia todo el esquema de nombres de los archivos cifrados por Crusis.

Probablemente la imitacin ms significativa que descubrimos este ao fue Polyglot, tambin conocido
como MarsJoke. Imita en su totalidad la apariencia y la tcnica de procesamiento de archivos de CTB-
Locker.

Prevemos que en 2017 todas estas tendencias se incrementarn.

A medida que crezca la popularidad del ransomware y que ciberpiratas de poca monta decidan entrar
en Internet, es probable que sigamos encontrando ms ransomware que carezca de la calidad
necesaria o cuyos autores no tengan la capacitacin necesaria, como programadores, para mantener
su promesa. Prevemos que programas ransomware del tipo skiddie bloquearn el acceso a los archivos
o al sistema de la vctima o simplemente eliminarn sus archivos, y la engaarn exigindole un rescate
sin devolverle nada.

GReAT: Predicciones de amenazas para 2017

La prspera economa del ransomware

El surgimiento de RaaS

Si bien el ransomware como servicio no es una tendencia reciente, en 2016 este modelo de propagacin
sigui su evolucin, incluso con ms autores que ofrecan sus productos maliciosos a pedido. Esta
tcnica ha demostrado ser de gran atractivo para ciberpiratas con capacidades o recursos limitados, o
con poca inclinacin a desarrollar sus propios programas.

El mercado clandestino ofrece cada vez ms programas ransomware

en alquiler. #KLReport
Algunos ejemplos sobresalientes de este modelo de ransomware que aparecieron en 2016
son Petya/Mischa y Shark, el cual posteriormente fue rebautizado como Atom.

Este modelo de negocios se hace cada vez ms sofisticado:

Sitios socios de Petya

El socio suele suscribirse a un acuerdo tradicional de comisiones. Por ejemplo, la tabla de pagos de
Petya muestra que si un socio recauda 125 Bitcoins por semana, su ingreso neto despus de la comisin
ser de 106,25 Bitcoins.
Tabla de pagos de Petya

Tambin existe un pago inicial por uso. Por ejemplo, alguien que quiera usar Stompado slo necesita
39 dlares americanos.

Con tantas ofertas de servicios de distribucin de spam, avisos de rescate, etc., a un aspirante no le
resulta difcil iniciarse en este mundo delictivo.

Desde redes basadas en comisiones hasta soporte al cliente y construccin de marca

Los atacantes ms profesionales ofrecen a sus vctimas una mesa de ayuda y soporte tcnico para
ayudarles en el proceso de compra de Bitcoins para pagar el rescate, y hasta pueden mostrarse abiertos
a negociar. La vctima se siente ms animada a pagar a cada paso que da.

Los ciberpiratas ofrecen soporte al cliente para asegurarse de que sus

vctimas paguen #KLReport
Asimismo, los expertos de Kaspersky Lab que investigaban el ransomware en Brasil descubrieron que
en muchos de los ataques, la construccin de marca de ransomware tena mucha importancia. Aquellos
en busca de llamar la atencin de los medios y provocar miedo en los usuarios, apuntan a una vctima
famosa o de alto perfil, mientras que los que prefieren mantener un bajo perfil renuncian a la tentacin
de la fama y se limitan a enviarle a su vctima un mensaje de correo para que se contacte con ellos y
una direccin de Bitcoin para que realice el pago.

Sigue siendo una cuestin de Bitcoins

Durante 2016, las familias de ransomware ms populares privilegiaron los pagos en Bitcoins. La mayora
de los rescates exigidos no eran excesivos, alrededor de 300 dlares americanos, aunque algunos
exigan (y cobraban) mucho ms.

Otros, especialmente en operaciones regionales y artesanales, preferan una opcin local de pago,
aunque esto significara que ya no podran ocultarse y confundirse en el ruido del ransomware.
El ransomware pone la mira en las compaas

En el primer trimestre de 2016, el 17% de los ataques apuntaban a compaas; esto equivale a un ataque
contra una empresa en alguna parte del planeta cada dos minutos[i]. Al final del tercer trimestre, esta cifra
se increment en un 23,9%, es decir, un ataque cada 40 segundos.

Una empresa sufre un ataque de ransomware cada 40 segundos

#KLReport
Segn la investigacin de Kaspersky Lab en 2016, una de cada cinco compaas en el mundo sufri un
incidente de seguridad informtica como resultado de un ataque de ransomware.

El 42% de las empresas pequeas y medianas sufri un ataque de ransomware en los ltimos 12
meses.
El 32% de ellas pag el rescate.
Una de cada cinco nunca recuper sus archivos despus de pagar el rescate.
El 67% de los afectados perdi parte de sus datos corporativos, y uno de cada cuatro perdi muchas
semanas tratando de restaurar el acceso.

Una de cada cinco empresas pequeas y medianas nunca recupera sus

datos, incluso tras pagar el rescate. #KLReport
La ingeniera social y el error humano siguen siendo los factores claves en la vulnerabilidad corporativa.
Uno de cada cinco casos relacionados con la prdida de datos se produjo por un descuido humano o
por ignorancia sobre el tema.

Estamos ante un incremento en ataques de ransomware ms especficos

cuyas vctimas son escogidas muy cuidadosamente por la informacin que
poseen y/o su dependencia de la disponibilidad de estos datos valiosos.

John Fokker, coordinador entre el equipo Digital y la unidad de delitos

informticos de la polica holandesa
Aunque algunos sectores sufren ms que otros, nuestra investigacin muestra que todos corren
riesgos.

Ya no existe ningn sector libre de riesgos. #KLReport

Sector % atacados con ransomware

1 Educacin 23
2 Informtica/Telecomunicaciones 22
3 Entretenimiento/Medios 21
4 Servicios financieros 21
5 Construccin 19
6 Gobierno/Sector pblico/Defensa 18
7 Fbricas 18
8 Transporte 17
9 Salud 16
10 Minoristas/Mayoristas/Ocio 16

Ataques de ransomware que ocuparon la primera plana

Los hospitales se convirtieron en los blancos principales con un impacto potencialmente

devastador ya que se cancelaron operaciones, se transfirieron pacientes a otros hospitales, y ms.
o El ejemplo ms significativo de ataques con ransomware tuvo lugar en marzo, cuando los
ciberpiratas bloquearon todos las computadoras del hospital Hollywood Presbyterian Medical
Center en Los ngeles, hasta que se pag el rescate de 17 000 dlares americanos.
o En pocas semanas, varios hospitales en Alemania tambin fueron atacados.
o En el Reino Unido, 28 servicios nacionales de salud admitieron que sufrieron ataques en 2016.
El proveedor de nube y escritorio alojado VESK pag unos 23 000 dlares americanos de rescate
para recuperar el acceso a uno de sus sistemas atacados en septiembre.
Medios de comunicacin importantes, como New York Times, BBC y AOL fueron atacados con
ransomware en marzo de 2016.
La Universidad de Calgary en Canad, un importante centro de investigacin, admiti haber pagado
unos 16 000 dlares americanos de rescate para recuperar mensajes de correo que haban
permanecido cifrados por una semana.
Una pequea comisara en Massachusetts termin pagando un rescate de 500 dlares americanos
(va Bitcoin) para recuperar datos crticos de casos a raz de que un oficial abriera un adjunto
malicioso en un mensaje de correo.
Incluso las competencias automovilsticas fueron atacadas: una de las principales escuderas
de NASCAR perdi datos valorados en millones de dlares debido a un ataque con TeslaCrypt en
abril.
Devolviendo los golpes

Mediante la tecnologa

Las ltimas versiones de los productos de Kaspersky Lab para pequeas empresas vienen mejoradas
con funciones de proteccin contra programas maliciosos cifradores. Asimismo, una nueva y
gratuita herramienta anti-ransomware est disponible para que todas las empresas la descarguen y
usen, cualquiera que sea la solucin de seguridad que tengan.

Una nueva herramienta gratuita anti-ransomware, independiente de

soluciones antivirus, se encuentra disponible #KLReport
La herramienta anti-ransomware para empresas de Kaspersky Lab es una solucin liviana que puede
funcionar en forma paralela con otras soluciones de seguridad. Esta herramienta utiliza dos
componentes necesarios para la deteccin temprana de troyanos: la red distribuida Kaspersky Security
Network y el mdulo System Watcher que monitorea la actividad de las aplicaciones.

Kaspersky Security Network rpidamente verifica la reputacin de los archivos y de la URL de un sitio
mediante la nube, y System Watcher monitorea el comportamiento de los programas, ofreciendo una
proteccin proactiva contra versiones an desconocidas de troyanos. Lo ms importante es que esta
herramienta respalda los archivos abiertos por aplicaciones sospechosas y revierte los cambios en caso
de que las acciones de esos programas resulten ser maliciosas.

Mediante colaboracin: La iniciativa No More Ransom

El 25 de julio de 2016, la polica holandesa, Europol, Intel Security y Kaspersky Lab anunciaron el
lanzamiento del proyecto No More Ransom, una iniciativa no comercial que rene a organizaciones
privadas y pblicas con el fin de informar al pblico sobre los peligros del ransomware y ayudar a las
vctimas a recuperar sus datos.

El portal web contiene ocho herramientas de descifrado, cinco de las cuales fueron desarrolladas por
Kaspersky Lab. Estas herramientas ayudan a restaurar los archivos cifrados por ms de 20 tipos de
programas cifradores maliciosos. Hasta la fecha, ms de 4 400 vctimas han logrado recuperar sus datos,
y se han ahorrado ms de un milln y medio de dlares en pagos de rescate.
No More Ransom ha ayudado a 4 400 usuarios a recuperar sus datos y
ha evitado que los ciberpiratas se ganen ms de un milln y medio de
dlares en extorsiones. #KLReport
En octubre, las autoridades de otros 13 pases se unieron al proyecto, incluyendo: Bosnia y Herzegovina,
Bulgaria, Colombia, Francia, Hungra, Irlanda, Italia, Letonia, Lituania, Portugal, Espaa, Suiza y Reino
Unido.

Eurojust y la Comisin Europea tambin apoyan los objetivos del proyecto, y se espera que ms actores
del sector privado y autoridades se sumen a esta iniciativa.

Las asociaciones pblicas/privadas son la esencia de la fortaleza de la

iniciativa NMR. Son esenciales para abordar el problema de forma efectiva y
eficiente, y proporcionan a las autoridades mayor capacidad y alcance que las
que tendran si trabajaran de forma aislada.

Steven Wilson, Jefe de EC3 de Europol

Enfrentando al ransomware: cmo permanecer seguro

1. Respaldo regular de datos.

2. Utilice una solucin de seguridad confiable y recuerde mantener activadas las funciones principales,
como System Watcher.
3. Siempre mantenga su software actualizado en todos sus dispositivos.
4. Tenga mucho cuidado con los archivos adjuntos en mensajes de correo o con mensajes de
remitentes que no conozca. Si tiene dudas, no los abra.
5. En el caso de empresas, hay que instruir a empleados y equipos de informtica, guardar por
separado los datos crticos, restringir accesos y siempre respaldar todo.
6. Si ha tenido la desgracia de ser vctima de un cifrador, no entre en pnico. Use un sistema limpio
para probar nuestro sitio No More Ransom donde encontrar herramientas descifradoras que le
ayudarn a recuperar sus archivos.
7. Por ltimo, pero no menos importante, recuerde que el ransomware es un delito. Denncielo a sus
autoridades locales.

Urgimos a las vctimas a que informen si sufren un ataque. Cada vctima posee
una pieza esencial de evidencia que proporciona una informacin muy valiosa.
A cambio, los mantendremos informados y protegidos contra aquellas ofertas
de terceras partes dudosas para descifrar datos. Pero es necesario que ms
autoridades sepan cmo lidiar con la ciberdelincuencia.

Ton Maas, coordinador entre el equipo Digital y la unidad de delitos de

alta tecnologa de la polica holandesa.
Por qu no debe pagar el rescate: consejos de la unidad de delitos de alta tecnologa de
la polica holandesa

1. Se convertir en un blanco ms atractivo.

2. No puede confiar en los delincuentes; es probable que nunca recupere sus datos, incluso si paga el
rescate.
3. La prxima extorsin puede ser mayor.
4. No aliente a los delincuentes.

Podremos ganar la lucha contra el ransomware?

Creemos que s, pero slo si trabajamos de forma aunada. El ransomware es un lucrativo negocio
criminal. Para que se detenga, el mundo debe unirse para interrumpir la cadena de sustento de estos
delincuentes y hacerles cada vez ms difcil que ataquen y extorsionen.

[i] Estimaciones basadas en: el 17% de 372 602 usuarios nicos en cuyos equipos los productos de
Kaspersky Lab neutralizaron ataques de ransomware en el primer trimestre de 2016, y el 23,9% de 821
865 usuarios nicos en cuyos equipos los productos de Kaspersky Lab neutralizaron ataques de
ransomware en el el tercer trimestre de 2016.