Cuando hablamos sobre ransomware en realidad estamos tratando un formato de malware con unas características específicas orientadas a engañar o extorsionar al usuario. Sin embargo, no deja de ser una amenaza como cualquier otra, pero con tintes muy evidentes de ingeniería social.

La complejidad de estas amenazas ha ido creciendo exponencialmente a medida que la privacidad que ofrecen los métodos de cobro de las extorsiones se ha ido volviendo más generalizada. Es coherente entonces ver en la siguiente gráfica un crecimiento muy acusado de nuevas variantes durante la explosión de las criptomonedas.

Desde el primer trimestre de 2014 al primero de 2016 observamos un crecimiento del 600% en el número de nuevas versiones de ransom.

Llegados a este punto, los hackers saben que el ransomware es un nicho interesante para explotar y sacar un beneficio económico, de modo que han desarrollado nuevas formas de infección para maximizar la distribución del malware. Seguramente conocemos todas o la mayoría, pero es momento de analizarlas:

Psicología, ingeniería social antes que tecnificación

Con la detección de los primeros scareware (antivirus rogue o el mismo virus de la policía que bloqueaba el acceso al equipo), vimos como la principal baza que usaban era aprovechar el temor de la víctima de perder el acceso al equipo, forzándolos a abonar una cantidad determinada de dinero. El scareware Reveton (o virus de la policía) usaba técnicas para amedrentar a la víctima suplantada identidades de organizaciones policiales avisando de una violación de leyes. En realidad no deja de ser una explotación muy cuidada de técnicas de ingeniería social para allanar el terreno a nuevas formas de malware mucho más sofisticadas (y destructivas) pero con aires de este tipo de amenazas. Obviamente, hablamos de crypto-ransomware.

Descargas de malware desde sitios confiables: una amenaza complicada de gestionar

Siguiendo el conductor común de la ingeniería social, el comprometimiento de sitios web considerados confiables a través de campañas de malvertising (anuncios maliciosos), ataques a la cadena de suministro o una alteración deliberada del sitio web, pueden llevar a visitantes del sitio web a ser infectadas.

De hecho, en mayo de 2016, Perezhilton.com sufrió un problema de ciberseguridad después de que el sitio pasara de contener información sobre noticias de Hollywood a desplegar, anuncios infectados que llevaron a sus cientos de miles de lectores a un gateway que descargaba el ransomware CryptXXX.

Phishing, un vector de ataque mucho más dirigido

Recientemente se ha observado que los ataques de ransomware están mucho más verticalizados y personalizados. Los hackers preparan campañas de phishing muy bien dirigidas a sectores, por ejemplo el sanitario.

El ransomware se entrega comúnmente a través de correos electrónicos de phishing muy bien personalizados o mediante «descargas automáticas». Los correos electrónicos de phishing a menudo aparecen como si hubieran sido enviados desde una organización legítima o alguien conocido por la víctima y atraen al usuario a hacer clic en un enlace malicioso o abrir un malicioso adjunto archivo. Es posible que el código malicioso se ejecute sin la interacción del usuario. Después de ejecutar el código malicioso, el ransom ejecuta sus acciones.

Zero-day Exploits para infecciones de ransomware

En mayo de 2017 fuimos presentes de un ataque a gran escala de un ransomware que se cree que fue desarrollado por un estado y aprovechando una herramienta filtrada por el grupo de hackers The ShadowBrokers, un mes antes de la NSA, llamada EternalBlue.

EternalBlue explota una vulnerabilidad en ciertas versiones de los sistemas Windows XP y Vista de Microsoft, lo que permite a una parte externa ejecutar comandos remotos en su objetivo.

El ransomware llamado WannaCry, hacía uso de esas vulnerabilidades que, aunque Microsoft publicara un parche en 24 horas a la filtración, consiguió comprometer a miles de equipos y generó importantes complicaciones a empresas como Telefónica en España y una gran parte del sector sanitario en el Reino Unido. Lo peor de todo, es que WannaCry llegó a poner en duda la resiliencia y los planes de actualización de software de muchas organizaciones.

Los piratas informáticos que utilizaron EternalBlue han sido responsables de varios ataques cibernéticos importantes, incluido Wannacry en mayo de 2017, y los ataques de NotPetya contra bancos e infraestructura de Ucrania en junio de 2017.

Velorcios CTA guia anti-ransomware