El ransomware es un programa de software malicioso que infecta tu computadora y muestra mensajes que exigen el pago de dinero para restablecer el funcionamiento del sistema. Este tipo de malware es un sistema criminal para ganar dinero (criptomonedas), que se puede instalar a través de enlaces engañosos incluidos en un mensaje de correo electrónico, mensaje instantáneo o sitio web. El ransomware tiene la capacidad de bloquear la pantalla de una computadora o cifrar archivos importantes predeterminados con una contraseña.

Los primeros casos sucedieron el año 2005 en Rusia, desde ese momento, el metodo de estafa se propagó por todo el mundo hasta la fecha actual.
En Septiembre del 2013 apareció CryptoLocker, un virus que dirige sus ataques a todas las versiones de windows. Este ransomware ha logrado infectar cientos de miles de computadoras personales y sistemas empresariales. Las víctimas, de manera inconsciente, abrieron correos electrónicos procedentes supuestamente de servicios de soporte al cliente de FedEx, UPS, DHS y otras empresas. Después de activarse, se muestra un cronómetro en la pantalla que exige un pago promedio de $300 en un plazo de 72 horas. Algunas versiones afectaron a archivos locales y medios extraíbles. El Equipo de respuesta a emergencias informáticas de Estados Unidos advirtió que el malware era capaz de desplazarse de equipo en equipo y recomendó a los usuarios de las computadoras infectadas que eliminaran de inmediato los equipos infectados de sus redes.

Pantalla de programa CryptoLocker

¿Cómo funciona?

Los piratas informáticos explotan las debilidades de Internet para tomar el control de los ordenadores. Consultar una página web infectada, abrir un archivo adjunto en un correo electrónico, reproducir un archivo de vídeo, actualizaciones de sistemas o de programas que parecen en principio fiables son las puertas por las que este software malicioso puede infectar en segundos un equipo informático.

El ‘ransomware’ funciona como un troyano o gusano. Cuando se instala, no hay una carga viral en el programa hasta que el ransomware se activa y cifra la información y provoca el bloqueo de todo el sistema operativo, aunque en ocasiones también puede propagarse el virus sin intervención humana.

En ese momento, lanza un mensaje de advertencia con la amenaza y pide un rescate para recuperar toda la información (300 dólares, en el caso del nuevo ciberataque masivo). A menudo, el usuario debe enviar un SMS para obtener un código de desbloqueo.

¿Es un tipo de ataque frecuente?

Sí, y el fenómeno no deja de expandirse. Antes del reciente ciberataque, el WannaCry paralizó unos 300.000 ordenadores en 150 países.

Según la empresa de seguridad informática Kaspersky Lab, se han registrado 62 nuevas familias de «ransomwares» en el último año. Y según la compañía McAfee, el número de casos detectados ha crecido un 88% en 2016, llegando a los cuatro millones.

Esto se debe a que el ‘ransomware’ es una inversión de alto retorno para el ciberdelincuente. Se piden cantidades relativamente pequeñas, pero que acumuladas suponen enormes sumas.

¿Que pasó con el Banco Estado?

El Banco Estado ha declarado durante el fin de semana un incidente de ciberseguridad, el cual ha significado que durante este lunes la institución informara a través de un comunicado de prensa que las sucursales no estarán operativas y permanecerán cerradas durante la jornada.Por su parte el Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRTGOB, realizó un análisis a partir de múltiples fuentes del Ransomware Sodinokibi, uno de los “vectores de ataques” que está circulando a nivel nacional. No descartando que este software pueda estar involucrado en el ataque dirigido al Banco.Sodinokibi, es un programa distribuido con un modelo de negocio Ransomware-as-a-Service, detectado por primera vez en una campaña en el 2019. El malware intenta obtener privilegios explotando algunas vulnerabilidades, después de esta etapa el malware recopila datos básicos del sistema y del usuario, para luego generar el cifrado de datos.

Algunos métodos de propagación son a través de campañas de phishing que contengan archivos adjuntos maliciosos, tratando de engañar a los usuarios para que abran los archivos adjuntos. Estos archivos suelen ser documentos Microsoft Office, archivos como ZIP, RAR, JavaScript, ficheros PDF, ejecutables (.exe), entre otros. Una vez abiertos, descargan otros tipos de malware tipo troyano para propagarse por la red atacada y generar infecciones en cadena.

Los investigadores de Symantec han detectado campañas de ransomware Sodinokibi dirigidas a buscar software de tarjetas de créditos o puntos de venta (PoS). Además han informado que utilizan el malware básico de Cobal Strike para dirigirlo a las víctimas. Otro punto importante que utilizan herramientas legítimas para ingresar a los sistemas como sistema de control remoto, aprovechando la infraestructura de servicios como cloudfront, Amazon, Pastebin para alojar cargas útiles y para crear la infraestructura de C&C, utilizan infraestructura legitima para no ser detectado y el tráfico no sea marcado sospechoso y ser bloqueado.

Microsoft ha observado ataques de fuerza bruta en servidores de escritorio remoto (RDP) y dispositivos de red vulnerables. Luego de la intrusión inicial es seguida por el uso de herramientas básicas para el robo de credenciales y generar los movimientos laterales antes de inyectar la carga útil del ransomware.

Otras investigaciones han detectado que no necesariamente requiere conectarse a C&C para intercambiar las claves de cifrado si no utiliza algoritmo de programación de claves asimétricas, permitiendo que funcione sin ninguna conexión de red. Los datos del sistema y del usuario son transmitidos a varios dominios web legítimos.

Por su parte, el BancoEstado indicó en su comunicado que “no ha existido afectación alguna a los fondos” de los clientes ni al patrimonio de la institución financiera

CSIRT mantiene el Nivel Alto de seguridad que se activó durante este fin de semana, lo que implica que existe una amenaza que, de llegar a afectar al Estado, podría tener un impacto significativo. En consecuencia, se advierte a toda la comunidad y entidades asociadas, que CSIRT activará controles de reforzamiento remoto para monitorear y evaluar la situación.

CSIRT sugiere al banco implementar las siguientes recomendaciones a la brevedad posible:

  • Aumentar el monitoreo de tráfico no usual,
  • Mantener los equipos actualizados, tanto sistemas operativos como otros software instalados.
  • No abrir documentos de fuentes desconocidas.
  • Tener precaución en abrir documentos y seleccionar enlaces de correos electrónicos.
  • Verificar y controlar los servicios de escritorio remoto (RDP).
  • Bloqueo de script o servicios remotos no permitidos en la instrucción.
  • Monitorear servicios SMB de forma horizontal en la red
  • Mantener actualizados las protecciones perimetrales de las instituciones
  • Aumentar los niveles de protección en los equipos que cumplan las funciones de AntiSpam, WebFilter y Antivirus.
  • Verificar el funcionamiento, y si no es necesario, bloquear las herramientas como PsExec y Powershell.
  • Mantener especial atención sobre el tráfico sospechoso que tengan conexiones a los puertos 135TCP/UDP y 445TCP/UDP
  • Verificar periódicamente los indicadores de compromisos entregados por CSIRT en los informes 2CMV20.
  • Segmentar las redes en base a las necesidades de sus activos, permitiendo solamente los puertos necesarios.

Author

alejandro

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

tres × cinco =