#MundoHacker: Aplicando ingeniera social en la difusión de ransomware

caballo de troya

A principios de semana me llamaba un amigo para informarme que su ordenador se había quedado bloqueado en una pantalla de error de Windows que le animaba a llamar a un servicio técnico con número 902 (teléfonos de tarificación especial).

Como me las veía venir, le pregunté qué estaba haciendo justo antes, y como suponía, estaba intentando entrar en una de esas páginas de streaming de fútbol que son en sí mismas nidos de malvertising. Le pedí que forzara reinicio y por supuesto todo seguía funcionando con normalidad. Simplemente había sido víctima de aquella campaña de pseudo-ransomware de la que hablaba hace unas semanas, y que al parecer ya ha sido portada al habla hispana (por aquel entonces solo había constancia de campañas en inglés y en francés).

Le cuento todo esto porque es el pan nuestro de cada día. Continuamente aparecen nuevas vías, cada vez más creativas, de engañar a las potenciales víctimas. Y el desconocimiento no hace más que aumentar el riesgo a caer en sus garras.

La última ha sido publicada por MalwareHunterTeam (EN), y no dejaría de ser otra campaña de ransomware más sino fuera porque aplica magistralmente principios de la ingeniería social (y si me apura, del marketing) ya no solo en la fase de adquisición de la amenaza, sino en su difusión posterior. Motivo por el cual quería dedicarle un artículo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Compárteme o paga

El malware, llamado Popcorn Time (no tiene nada que ver con la herramienta de streaming de contenido audiovisual por P2P), es, como decía, un ransomware al uso.

Cuando infecta a la víctima, se hace pasar por una actualización de Windows (con sus pantallas de carga y todo), para luego alertarle de que en efecto ha sido objetivo de un ransomware, y que si quiere recuperar sus archivos, deberá tomar una de las dos opciones lo antes posible (hay una cuenta atrás de 6 días para decidirse, bajo la amenaza de perder los archivos cifrados para siempre).

Y es aquí donde empieza lo bueno.

popcorn time seguridad

Hay, como decía, dos maneras de recuperar el control de nuestros archivos:

  • La rápida y sencilla: Es decir, pagar un bitcoin (unos 740 euros) a la cartera de los cibercriminales. Pasadas unas dos horas después de la confirmación del pago, se supone que nos harán llegar la llave para descifrar nuestros archivos.
  • La sucia (pero barata): Nos pasan un enlace con el que tenemos que conseguir que al menos dos personas se infecten y tengan que pagar para recuperar sus archivos. Es decir, pasamos a ser difusores del malware. Y si lo logramos, nos enviarán “gratuitamente” la medicina.

Esta estrategia no es que sea nueva, pero sí me parece interesante habida cuenta de que busca el apoyo consciente de la víctima. Otros malwares simplemente se encargan de controlar alguna vía de difusión que pueda tener activada en el dispositivo (como puede ser tener acceso a una cuenta de Facebook, Twitter o Skype) y automatizan el envío de enlaces a sus conocidos. Pero en este caso, la difusión se hace dentro del propio modelo de negocio y por parte del interesado.

Para limar asperezas, eso sí, dedican dos párrafos que tienen como objetivo excusarse y buscar el acercamiento de la víctima.

Ojo, que no hacemos esto porque queremos enriquecernos a tu costa. En realidad somos unos humildes estudiantes de informática sirios, y puesto que nuestro país lleva en guerra cinco años, la única manera que hemos visto de alimentar a los familiares que nos quedan (de hecho el que escribe estas palabras al parecer ha perdido el año pasado a sus padres y a su pequeña hermana) y poder comprar unas pocas medicinas es infectándote con este malware y animándote a que nos ayudes económicamente.

Vamos, que pareciera que hasta es un gesto humanitario apoyar la causa de los cibercriminales. Ni donaciones a ONGs ni hostias, lo que está de moda ahora es el ransomware. Hasta nos comparten un enlace a la página de la guerra Siria en Wikipedia para que veamos la cruda realidad del país…

La mayoría de principios básicos de la ingeniería social en estado puro: urgencia, reciprocidad, confianza, validación social… Si no estás dispuesto (o no puedes) pagar 1 bitcoin, intentarás infectar a tus conocidos, y podrás perdonarte a ti mismo ya que al menos estás ayudando a unos pobres sirios.

Una falacia como cualquier otra, pero que seguramente les esté funcionando.

¿Qué podemos hacer para minimizar el riesgo frente a este tipo de ataques?

El malware está aún en desarrollo (por aquí algunos análisis preliminares (EN)), y todavía creo que no hay ningún parche específico (quizás alguno genérico funcione) para solventarlo una vez infectado. En todo caso, será cuestión de tiempo.

Pero lo que sí podemos intentar es minimizar el riesgo a ser víctimas de ataques de este tipo, siguiendo algunas pautas que ya deberían ser conocidas por todos nosotros:

  1. Ser precavidos con las instalaciones y los permisos que dotamos a terceros: Para que un ransomware como éste cifre nuestros documentos tenemos que aceptar su instalación. Bien es verdad que buscarán métodos para ocultarse (quizás venga dentro de otro programa supuestamente legítimo, o como extensión necesaria para visualizar el contenido en X página), pero recalco, es un paso que en algún momento nosotros activamente hemos decidido aceptar. La cosa es ser precavidos con todo lo que nos pida permisos en nuestros dispositivos. Si no estamos 100% seguros, lo mejor es que no lo instalemos.
  2. Mantener los sistemas y las herramientas actualizadas: Y esto incluye al propio navegador, que es generalmente la vía de acceso más común a este tipo de amenazas. No cuesta nada dejar que nuestro dispositivo y programas se actualicen solos, y gracias ello minimizamos considerablemente el riesgo.
  3. Desconfiar de los enlaces acortados o raros, aunque sean enviados por conocidos: Herramientas como unshorten (EN) nos permiten ver a dónde nos va a llevar un enlace con solo copiarlo y pegarlo en su caja de búsqueda, y con este paso tan sencillo, nos evitamos problemas mayores. Otra buena estrategia es abrir todos los enlaces que nos parezcan sospechosos en un navegador que no usemos (con un nivel de seguridad adecuado), o en una página de incógnito, para que al menos, de tratarse de algún malware de robo de credenciales, no pueda acceder al resto de pestañas abiertas. Pero es algo que tenemos que hacer proactivamente, ya que quizás, como ocurre en este caso, el objetivo de nuestro conocido sea infectarnos, o como ocurre habitualmente, ni siquiera nuestro conocido sea consciente de que está pidiéndote que entres en X página o descargues X archivo. Vale más pecar de precavido que lamentarse a posteriori. Créame.

Tres tips que reducen considerablemente el impacto de la mayoría de campañas de malware (y phishing) actuales. Simplemente aplicando el sentido común, teniendo las herramientas actualizadas y desconfiando de aquello que por defecto viene ofuscado.

 

________

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias