Inicio / Protege tu empresa / Blog / Enfrentándonos al Ransomware

Enfrentándonos al Ransomware

Publicado el 15/07/2015, por Manuel López y Jesús Arnáiz
Enfrentándonos al Ransomware

Ante el uso masivo de las tecnologías de la información y las telecomunicaciones (TIC) en todos los ámbitos de la sociedad, han aparecido en el ciberespacio una serie de amenazas que atentan contra la Sociedad, y que lo hacen en sus diversas formas: ciberdelincuencia, ciberterrorismo y ciberguerra, entre otras.

Dentro de estas amenazas cibernéticas están desarrollándose con mucha rapidez e impacto, las denominadas genéricamente como Ransomware y que detallaremos más adelante en el presente artículo, junto con un análisis de la eficiencia de los sistemas antimalware frente a este tipo de amenazas, tras explicar las medidas defensivas que proponemos.

Primera ilustración

Ilustraciones gracias a la cortesía de Alejandro Cuenca.

¿Qué es el ransomware?

La palabra se forma al juntar ransom (secuestro, en inglés) y el sufijo ware utilizado habitualmente para referirnos a un componente informático (como el hardware, software, etc.).

Nos apoyaremos en la definición que da el NIST en su informe sobre el de Junio de 2011, para definir el ransomware:

«The use of malware to block access to computers or data until a payment is made, also continues to be used for extortion purposes.»

Que con nuestras palabras, lo describimos como:

Un software (o aplicación informática) diseñado con fines maliciosos (es decir, un malware), que bloquea el acceso a equipos informáticos o a los datos, hasta que se recibe un pago que se solicita como rescate.

A continuación presentamos las medidas defensivas que recomendamos, para finalizar el artículo con una clasificación y explicación más detallada de este tipo de amenazas.

¿Cómo podemos defendernos del Ransomware?

A: Pues el otro día intalé sin darme cuenta un programa que me había llegado por correo. Se trataba de un CRYPTOLOCKER. es un virus de esos que te cifran todos tus datos del disco duto. B: Ya... A: Por suerte tenía una copia de seguridad en un disco externo que no tengo conectado al ordenador. Si no, hubiera perdido todos mis documentos, las fotos, la musica. B: Estoooo, claro, claro!... Yo también tengo una copia en un disco externo por si me pasa esto. A: ¿Porqué sudas tanto? ¿Estas bien?  B: Si, si... Es que hace calior... ¡¡Tengo que hacerme una copia de seguridad en cuanto llegue a casa!!

Ilustraciones gracias a la cortesía de Alejandro Cuenca.

Presentaremos, a modo de guía, medidas tecnológicas y buenas prácticas que podemos aplicar según nuestro perfil (usuarios particulares, empresas con baja dependencia tecnológica, o empresas con media-alta dependencia tecnológica).

Como lector puedes dirigirte a la parte con la que creas que te sientes más identificado, si bien, recomendamos la lectura completa ya que muchas de las medidas son compatibles y pueden adaptarse bien en diferentes perfiles.

Si soy un usuario particular…

  • Debo hacer copias de seguridad de los datos, en una, o mejor varias, unidades de almacenamiento extraíbles (pendrives, discos externos USB…) que no dejaremos conectada al equipo más allá de los momentos de hacer la copia o recuperar datos de ésta. Ésta es, habitualmente, la única manera de recuperarnos en caso de infección y, por muchas medidas preventivas que utilicemos, no podemos descartar que esto suceda ya que este tipo de malware está en continua evolución.
  • Debería ser muy cuidadoso con los correos electrónicos que abro, y nunca ejecutar ningún programa ni abrir enlaces recibidos que no hayamos solicitado previamente, ya que es la técnica de infección más habitual. Las técnicas de engaño utilizadas por estas amenazas son muy sofisticadas, haciéndose pasar por envíos legítimos, como cartas certificadas de Correos, facturas o pedidos, transferencias bancarias..., por lo que no debemos confiar en la apariencia o el origen directamente. Por ello además es recomendable analizar los adjuntos antes de abrirlo, o en el caso de enlaces utilizar previamente un analizador de enlaces o urls.
  • Abundando más en la medida anterior, también creemos que se debe mantener una actitud defensiva, es decir, desconfiar de primeras, cuando navegamos, tratando de evitar el ejecutar software que se nos haya descargado automáticamente o instalar aplicaciones recomendadas en páginas de descargas u otras, para mejorar el rendimiento de nuestro PC, antivirus falsos, etc., ya que esta es otra vía de infección común.
  • Debo utilizar software antivirus/antimalware: existen diversas aplicaciones, muchas de ellas gratuitas o con versiones domésticas de coste muy reducido, como pueden ser: avast, spybot, lavasoft adware, y muchas otras.
  • Puedo tratar de prevenir la infección con herramientas como Antiransom del investigador Yago Jesús.
  • Utilizar antivirus online para analizar ficheros que consideremos sospechosos, como Virustotal, que ofrece el resultado del análisis tras pasar la muestra que enviemos por diferentes motores de antivirus, incluyendo los de los fabricantes más reputados. Aun así, queremos resaltar que esta medida no es 100% efectiva, ya que no siempre son detectados (en particular cuando se trata de una nueva variante aparecida recientemente).
  • Tratar de mantener actualizado el sistema operativo (como Windows, por ejemplo) y las aplicaciones instaladas, como: navegador, reproductor flash, java, y otras. Vulnerabilidades de estas aplicaciones pueden ser explotadas por terceros para infectarnos y posteriormente cifrar nuestros datos.
  • Evitar el pago del rescate, medida que desaconsejamos, ya que estaremos colaborando con esta industria de la ciberdelincuencia, permitiéndola prosperar, y además nunca tendremos garantías de que se vaya a recuperar el equipo o la información tras el pago.
  • Si me veo infectado, denunciar a las Fuerzas y Cuerpos de Seguridad del Estado, a la Brigada de Investigación Tecnológica de la Policía Nacional, o al Grupo de Delitos Telemáticos de la Guardia Civil.

Ransomware Correos

Ejemplo de mensaje de engaño (phising) utilizado para propagar Cryptolocker.

Si soy una empresa con baja dependencia tecnológica.

Podemos aplicar todas las medidas presentadas en el apartado anterior. Y, además de estas:

  • Utilizar un sistema de copia de seguridad que no esté directamente conectado, como puede ser un servidor en la red local o en la nube, o un dispositivo externo que se conecte puntualmente -en el momento de realizar la copia-. Y utilizando para la copia tareas programadas o herramientas de copia de seguridad, como las ofrecidas por numerosas compañías de software.
  • Limitar los privilegios de los usuarios de la organización a los mínimos imprescindibles, basándonos en las necesidades de los usuarios (por ejemplo: dependiendo del departamento o área en el que trabajen cada uno de ellos, o las funciones que desempeñen).

Si soy una empresa con media-alta dependencia tecnológica.

Además de todo lo comentado en los apartados anteriores, en un entorno de este estilo, podemos:

  • Emplear recursos para mejorar la formación y concienciación del personal en materia de seguridad informática y en particular de este tipo de amenazas: qué son, cómo se propagan, qué podemos hacer para evitarlas, etc. Así como, más específicamente, para expertos en seguridad TI conocimientos sobre estas amenazas y su funcionamiento, campañas de propagación y detección temprana mediante sistemas trampa u otros, contacto con los organismos oficiales, etc.
  • Utilizar sistemas antivirus/antimalware corporativos con gestión centralizada, que obliguen a todos los usuarios de la red a tener una versión de éste actualizada, como los ofrecidos por diversos fabricantes de este tipo de software (McCaffe, Symantec y muchas otras).
  • Utilizar herramientas de prevención específicas, pensadas para entornos corporativos, como pueden ser Cryptolocker prevention kit o Cryptoprevent.
  • Uso de políticas y aplicaciones específicas para el mantenimiento de actualizaciones software incluyendo el sistema operativo, sus componentes y aplicaciones.
  • Planificación y ejecución de un plan de auditoría (llevado a cabo por equipos internos de auditoría o terceros especializados), tanto de los sistemas como de las políticas de la organización, de manera que podamos detectar y posibles vulnerabilidades.

Método de investigación

Para la elaboración del presente artículo, se han utilizado diversas vías de estudio, incluyendo:

  • Análisis forense sobre una muestra de Cryptolocker, cuyo trabajo publicado presentamos también entre las referencias.
  • Análisis de muestras de este tipo de amenazas en Virustotal.
  • Estudio de informes técnicos sobre esta amenaza que describen su funcionamiento y medidas de prevención, como los que incluimos en el apartado de Referencias, facilitados por fabricantes, blogs especializados y también organismos estatales como INCIBE.
  • Estudio de la evolución de los virus en general, para comprender mejor el ransomware y para poder predecir posibles evoluciones del mismo.
  • Consultas dirigidas a las Fuerzas y Cuerpos de Seguridad del Estado sobre el impacto de este tipo de amenazas y su progreso.
  • Seguimiento de las noticias relacionadas publicadas en medios especializados y también en medios de comunicación.

Clasificación del Ransomware

Las dos grandes familias del ransomware que actualmente podemos encontrarnos, son:

  • Ransomware de cifrado: donde se utilizan mecanismos de cifrado para secuestrar los datos del usuario.
  • Ransomware de bloqueo: que bloquea de alguna manera el dispositivo (PC, móvil, tableta…) o algún componente de éste (como el navegador, por ejemplo).

Ransomware de cifrado

En esta primera categoría encontramos diversas variantes, siendo las más conocida Cryptolocker, pero incluyendo otros con un comportamiento similar, como pueden ser: TeslaCrypt, TorrentLocker, y muchos otros.

En el momento de la infección, este malware, realiza una búsqueda por todas las unidades accesibles (incluyendo unidades de red o unidades externas conectadas), procediendo a cifrar cada uno de los ficheros siempre que encajen en las características buscadas, normalmente extensiones conocidas como: imágenes (.jpg, .png, .gif…), documentos ofimáticos (.doc, .docx, .ppt, .pdf), trabajos CAD (.dwg), y muchas otras.

Finalizado el cifrado, presenta un mensaje al usuario (a veces este mensaje se inserta en un fichero de texto en carpetas afectadas, y/o como fondo de pantalla para el usuario), indicando que sus datos han sido cifrados y que debe pagar por su rescate, normalmente utilizando direcciones de bitcoin u otras monedas o medios de pago difíciles de rastrear, como puede ser ukash.

Supuestamente una vez realizado el pago se obtiene la clave privada RSA que, comúnmente se utiliza para cifrar las claves y/o vectores de inicialización de métodos de cifrado simétrico como pueden ser AES-CBC.

* Hacemos hincapié en que el pago no implica necesariamente la recuperación de la información.

cryptolocker

Pantalla de Cryptolocker

La cantidad económica solicitada varía entre las diferentes especies de este tipo, rondando entre los 100-500€. En algunos casos esta cantidad está estudiada en función de a quién va dirigida la campaña de propagación del malware (por ejemplo: las cantidades solicitadas en diferentes países es distinta, siendo –normalmente- más altas en los países más ricos).

Para ampliar la información relativa al funcionamiento de este tipo de amenazas, recomendamos el siguiente artículo, publicado por los autores del presente en el blog especializado en seguridad en TI: SecurityByDefault, donde desgranamos mediante una investigación forense el funcionamiento de una variante de Cryptolocker:

Análisis de un ransomware de cifrado.

Ransomware de bloqueo

Este malware, impide el uso del dispositivo o componentes de éste, hasta que se procede al pago del rescate.

En esta categoría encontramos muy variados especímenes, siendo el más conocido: Reveton, comúnmente llamado: «El virus de la policía».

Una de las técnicas de manipulación utilizadas para que se proceda con el pago, es utilizar una pantalla en la que se indica al usuario que ha cometido algún delito (habitualmente, relacionados con la descarga de pornografía ilegal) y que por tanto debe pagar una multa.

Según se ha ido perfeccionando esta técnica, han conseguido que el mensaje pueda adaptarse a diferentes países, utilizando el idioma local y presentando imágenes identificativas de las fuerzas del estado competentes, así como, la imagen de la víctima capturada con la webcam en caso de disponer de ella.

reveton

Pantalla presentada por una variante de Reveton.

En esta categoría estamos viendo la aparición de nuevas variantes dirigidas a smartphones y tabletas, como la que ilustra la siguiente pantalla:

reveton movil

Imagen pantalla de una versión de Reveton para dispositivos móviles.

Y creemos que la tendencia puede ser extender este tipo de amenazas a todo tipo de dispositivos de lo que se conoce como El Internet de las Cosas (o IoT, de sus siglas en inglés) que podría afectar a elementos de la vida cotidiana como pueden ser: televisiones inteligentes (smartTV), electrodomésticos con conexión a Internet según se vayan popularizando u otros.

Análisis del Comportamiento de Antivirus ante la Amenaza.

Hemos realizado un análisis de 50 muestras de ransomware conocido, lanzadas contra la plataforma de detección VirusTotal.

Las muestras pertenecen a distintas familias de Reveton, Cryptolocker, Cryptowall… algunas variantes eran muy recientes en el momento del análisis y, por lo tanto, las detecciones han sido muy pocas, no podemos determinarlo pero la mayoría los habrán detectado por heurística.

Las ejecuciones tienen distintas fechas desde febrero de 2012 hasta finales de mayo de 2015, según se han ido obteniendo.

Advertimos que los datos que muestra este análisis no pretenden medir la calidad de este tipo de productos ya que ésta implica muchos otros parámetros (detección de otro tipo de amenazas, rendimiento, facilidad de uso, etc.).

La tabla siguiente muestra el número de amenazas escaneadas y el porcentaje de detección.

tabla

Porcentaje de detección y numero de muestras escaneadas en diferentes antivirus.

Conclusiones Finales

El Ransomware es una amenaza en pleno apogeo y nada indica que esto no vaya a continuar igual (o empeorar), en el futuro, debido a la proliferación de cada vez más dispositivos con conexión a Internet (tabletas, teléfonos, televisiones...).

También es perjudicial el hecho de la aparición del Ransomware como servicio, donde crear amenazas de este tipo se convierte en una labor sencilla que implica el pago de una comisión de cada pago que se produce por parte de las víctimas.

Se deben seguir unas buenas prácticas que incluyan concienciación y también uso de medidas de prevención, si bien, como hemos podido observar, el disponer de un antivirus actualizado no garantiza el poder ser infectado.

Para entornos más grandes o con mayor dependencia tecnológica existen herramientas muy eficaces para combatir estas amenazas, pero nada sustituye a la necesidad de disponer de una copia de seguridad, ya que es ésta la más efectiva –y casi única- medida de recuperación.

En entornos más especializados y grupos de detección y respuestas de incidentes, la estrategia puede incluir medidas para la detección temprana, como máquinas y sistemas trampa, en conjunción con sistemas de análisis (manuales y/o automáticos).

Referencias

Incluimos algunas referencias relevantes que además pueden servir para que el lector pueda ampliar la información del presente trabajo.

ANÁLISIS DE UN RANSOMWARE DE CIFRADO. Manuel López Hidalgo, Jesús Arnáiz, Marcos Gómez Hidalgo, (publicado como colaboradores en SecurityByDefault) (18/05/2015).

Ransomware, herramienta de la ciberextorsión. David Cantón (INCIBE) (12/11/2013)

RANSOMWARE IV: Métodos de infección, protección y recuperación. David Cantón (INCIBE) (23/01/2014).

Cómo eliminar el virus de la Policía en dispositivos móviles. OSI – Oficina de Seguridad del Internauta (19/06/15).

Sobre los autores

Este trabajo ha sido desarrollado como parte de un proyecto de fin de Master, en el MÁSTER UNIVERSITARIO EN SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN Y DE LAS COMUNICACIONES de la Universidad Europea de Madrid.

En él han participado:

  • Manuel López Hidalgo. Ingeniero especialista en seguridad informática. beat.ransomware @ gmail.com.
  • Jesús Arnáiz Calvo. Ingeniero especialista en seguridad informática. jesusarnaizcts @ gmail.com.
  • Marcos Gómez Hidalgo. Especialista en seguridad informática y Licenciado en Matemáticas, tutor del proyecto. marcos.gomez @ incibe.es.

Finalmente, agradecemos a Alejandro Cuenca Merchán, diseñador, por su colaboración desinteresada en forma de viñetas. cuencamerchan @ outlook.com.