Continuando nuestra cobertura de SEGURINFO 2015, presenciamos la charla de Pablo Ramos, Head of Latam Research Lab de ESET, quien hizo un repaso sobre el perfeccionamiento y la proliferación del ransomware en los últimos años y en comparación a cómo era hace un par de décadas.

Luego de un repaso por las características principales y aspectos básicos del ransomware, diferenciándolo del scareware y a su vez entre distintas clases como el de cifrado de archivos o el de bloqueo de pantalla, nos embarcamos en una revisión histórica.

Desde PC Cyborg, que hacia 1989 se propagaba en discos de 3 1/4, pasando por Krotten en 2006 que fue uno de los primeros filecoders y Reveton (también llamado Virus de la Policía) en 2010, llegamos a principios de 2015 a una oleada histórica de detecciones. Pero para conocer en detalle esta historia, mejor veamos una línea de tiempo:

ransomware_avance

Asimismo, Pablo Ramos detalló 4 características de los casos de ransomware más resonantes, aunque no presentes en todos:

  • Cifran los archivos de una manera no trivial: la clave es asimétrica, lo que impide que se recuperen por Ingeniería Inversa o fuerza bruta
  • Es imposible obtener la clave para descifrar los archivos dado el malware y una copia del archivo cifrado, es decir, difícilmente un especialista pueda recuperarla
  • Cuando el usuario paga el rescate, la clave funciona únicamente para ese sistema, impidiendo que, de ser publicadas en Internet, vuelvan a funcionar ante una infección en otro sistema
  • Ante un ataque exitoso, la clave estará disponible para el atacante

Respecto a los casos "célebres", en la presentación se describió a los siguientes:

Reveton

Era un bloqueador de pantalla, el cual era posible de eliminar reiniciando sistema en modo seguro y borrando la llave de registro Run.

Cryptolocker

El primero en implementar "realmente" bien la criptografía para cifrar archivos, usando RSA de 2048 bits en las últimas variantes. Busca algunas extensiones para cifrarlas, en vez de tomar todos los archivos disponibles. El pago es generalmente en bitcoins y a través de Tor, porque desde allí se comunica con el C&C, garantizando el anonimato del cibercriminal.

CTB Locker

Usando un método asimétrico de cifrado se asegura de que los archivos no se pueden recuperar. Si Cryptolocker era capaz de borrarse a sí mismo, este se queda, y se volverá a ejecutar tras un reset de sistema hasta que una solución de seguridad lo detecte. Además, fue el primero cuyo mensaje de cifrado se mostraba en español, e incluso se podía elegir en qué idioma verlo entre varios, incluyendo alemán, italiano e inglés. De todas formas, el 15% de las detecciones fueron en países hispanoparlantes.

CTB Locker cifra los archivos en el disco, tanto unidades extraíbles como de red, con un algoritmo de curva elíptica que no es reversible. También se comunica con el C&C a través de Tor y pide un rescate en bitcoins, aunque de un precio más elevado: 8 bitcoins.

Pero no debemos olvidar que el año pasado ESET analizó al primer ransomware para Android activado en Tor: Simplocker. Y por sus pecualiares características, durante la presentación se hizo una demostración de un ataque en un dispositivo móvil, viendo cómo utiliza la cámara web para registrar al usuario víctima y luego arrojar el mensaje de pedido de rescate una vez que cifró los archivos.

De todo esto, según extraemos de la presentación, el ransomware se convirtió en una de las actividades más rentables para los cibercriminales, que irán perfeccionando sus técnicas y adaptándose a nuevos escenarios. De todas formas, las mismas técnicas de propagación seguirán vigentes: adjuntos en correos electrónicos y explotación de vulnerabilidades, principalmente.

Por tal motivo, resulta de vital importancia la educación de los usuarios incluso dentro de empresas: pensemos el caso de aquella compañía argentina que debió pagar 2.500 dólares por recuperar sus archivos secuestrados. En verdad, concluyó Ramos, lo ideal es evitar este tipo de amenazas con una correcta gestión de la seguridad y, en caso de resultar víctimas, no hacer el pago para terminar con esta conducta criminal.

Para seguir de cerca lo que sucede en SEGURINFO 2015, sigan nuestra cuenta de Twitter @ESETLA.