#MundoHacker: secuestrando archivos, ransomware

Pues sí. Lo anunciaba hace unas semanas a raíz de las opiniones vertidas por los suscriptores de esta web en la encuesta sobre satisfacción. Recupero por tanto la serie #MundoHacker, que llevaba un año sin actualizar, con uno de los malware más habituales en la actualidad: el ransomware.

ransomware

El estado del arte en ciberdelincuencia ha evolucionado mucho en los últimos años. En los 90, los desarrolladores de virus hacían herramientas con fines puramente activistas, con el fin de obtener reconocimiento o llamar la atención sobre algo.

Hablamos de virus normalmente molestos, enfocados a afectar a un número cada vez mayor de usuarios, pero sin un interés económico (al menos directo).

Con la llegada del nuevo siglo, llegó también la industrialización de la ciberdelincuencia. Donde antes había interés por llamar la atención, ahora había interés por robar los datos o directamente por extorsionar a la víctima.

Así es como nacen los primeros ransomware, piezas de malware que se encargan de bloquear alguno de los elementos del dispositivo, y normalmente pedir dinero a cambio del desbloqueo.

Los hay de varios tipos: Desde el que bloquea la pantalla del dispositivo, no pudiendo realizar ninguna acción, pasando por los browlock, un tipo de ransomware que bloquea los navegadores, hasta aquellos que se encargan de cifrar archivos que el usuario suele utilizar.

¿Cuáles son los vectores de ataque?

Pues los mismos que la mayoría de malware. Se valen del desconocimiento del usuario, aplicando normalmente técnicas de ingeniería social, para engañarlo y hacer que instale la aplicación maliciosa. Otras veces, aprovechan vulnerabilidades del navegador para realizar este paso de forma automática cuando el usuario navega por una web comprometida (drive-by-download).

El usuario se da cuenta de que está infectado ya que no podrá acceder a alguna funcionalidad del dispositivo, y normalmente, se le mostrará una pantalla de alerta, camuflada bajo la apariencia de un mensaje oficial de la Policía, una agencia de seguridad, el gobierno, o el organismo de turno, que le exige pagar una multa para recuperar el acceso a las funcionalidades bloqueadas.

En muchos casos, se le acusa de haber estado consumiendo pornografía, e incluso algunos aprovechan la webcam para sacar una foto de la persona delante del dispositivo, como señal para advertirle que saben quien es y que será denunciado.

Es importante señalar que a día de hoy afectan a todo tipo de dispositivos. Desde PCs hasta móviles, y que tiemble el IoT. Un mercado muy lucrativo, como demostraba recientemente CryptoLocker, una evolución de otro ransomware muy conocido, CryptoWall, que ha afectado en 5 meses a 625 mil víctimas, cifrando más de 5 mil millones de archivos, y recolectando cerca de un millón de dólares.

Porque este es el fin del malware: obligar al usuario a que pague una suma de dinero que oscila entre los 20 euros y los 20.000 (según el ransomware y el número de archivos bloqueados) en compensación por los supuestos delitos que la víctima ha cometido (consumir o compartir pornografía infantil, navegar por webs prohibidas, lo que se os ocurra,…).

¿Cómo funcionan?

De diversas formas. La habitual, utilizar exploits kits para encontrar vulnerabilidades en el sistema operativo que les permita escalar privilegios y bloquear lo que tengan que bloquear.

Depende muchísimo del tipo de ransomware que tengamos, pero para el bloqueo de archivos, se utilizan técnicas de cifrado que van desde las más sencillas (una clave pública) hasta cifrados con clave privada RSA que complican sobremanera su limpieza.

Pagar, por cierto, no siempre es la solución. Y es que no es raro que una vez hayas pagado, obliguen al usuario a volver a pagar, excusándose en algún aspecto “legal” que interfiere (el timo de toda la vida, vamos).

Por supuesto, utilizan intermediarios digitales de dudosa procedencia para realizar este tipo de pagos: tarjetas de prepago de MoneyPak, monedas virtuales o servicios de blanqueo cambio de divisas.

¿Cómo evitar ser afectado por un ransomware?

Utilizando el sentido común, para variar. Los anuncios de webs pornográficas o de piratería (no porque traten estos temas, sino porque suelen ser unos canales bastante efectivos al pillar al usuario un tanto “distraído”) o diversas webs comprometidas son los vectores más habituales.

Un buen antivirus limita mucho el posible éxito de este tipo de malware. También cerciorarse de que lo que bajamos es en realidad lo que queríamos bajar, y no caer en las estrategias habituales de instalar otros programas al querer instalar una aplicación específica.

Estoy infectado, ¿Y ahora qué?

Pues habría que mirar el tipo de ransomware que tenemos entre manos. La buena noticia es que la mayoría son relativamente sencillos de eliminar, y basta pasarnos por las páginas de soporte de nuestro sistema operativo o antivirus para encontrar algún parche.

El pagar lo que pidan, como ya he dicho, no siempre es la solución, pero claro, cuando el ransomware ha bloqueado esos archivos de empresa que se necesitan a la mañana siguiente, quizás sea la única alternativa que tenemos. A fin de cuentas, serán solo unos euros, ¿verdad…?

 

Imagen de papa42, Hands of a missing kidnapped (ES) cedida por Depositphotos.com.

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias