Amenazas informáticas: RANSOMWARE

¿Qué es un RANSOMWARE?

Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa
informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema
infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware
cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a
pagar el rescate.
Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa
McAfee señaló que solamente en el primer trimestre del 2013 había detectado más de 250 000 tipos
de ransomware únicos.
Fuente

¿Cuáles son los más conocidos?

WANNACRY

Wannacry

WanaCrypt0r o también conocido como “WannaCry” es un ransomware “activo” que apareció el 12
de mayo de 2017 con origen en el arsenal estadounidense de malware Vault 7 revelado por
Wikileaks pocas semanas antes, el codigo malicioso ataca una vulnerabilidad descrita en el boletín
MS17-010 en sistemas Windows que no estén actualizados de una manera adecuada. Provocó el
cifrado de datos en más de 75 mil ordenadores por todo el mundo afectando, entre otros.
Rusia: red semafórica, metro e incluso el Ministerio del Interior.
Reino Unido: gran parte de los centros hospitalarios.
Estados Unidos.
España: empresas tales como: Telefónica, BBVA, Gas Natural e Iberdrola.
El ransomware cifra los datos que, para poder recuperarse, pide que se pague una cantidad
determinada, en un tiempo determinado. Si el pago no se hace en el tiempo determinado, el usuario
no podrá tener acceso a los datos cifrados por la infección. WannaCry se ha ido expandiendo por
Estados Unidos, China, Rusia, Italia, Taiwán, Reino Unido y España, al igual de que se señala que
los sistemas operativos más vulnerables ante el ransomware son Windows Vista, Windows 7,
Windows Server 2012, Windows 10 y Windows Server 2016.
Un ordenador infectado que se conecte a una red puede contagiar el ransomware a otros
dispositivos conectados a la misma, pudiendo infectar a dispositivos móviles. A su inicio,
WanaCrypt0r comienza a cifrar los archivos de la víctima de una manera muy rápida.
Afortunadamente en la actualidad se pudo detener su expansión gracias a un programador de Reino
Unido, autor del blog MalwareTechBlog.
Fuente

PETYA

Petya

Petya es un malware de tipo ransomware reportado por la empresa Heise Security. Se esparce
como troyano usando el popular sistema de archivos en la nube Dropbox. Mientras la mayoría de
los malware de secuestro de computadoras selecciona los archivos a encriptar, este aumenta el
daño potencial al impedir el arranque de la computadora.
El 27 de junio de 2017, comenzó un ciberataque mundial (las compañías ucranianas fueron las
primeras en afirmar que estaban siendo atacadas), utilizando una nueva variante de Petya. En ese
día, Kaspersky Lab informó de infecciones en Francia, Alemania, Italia, Polonia, Reino Unido y
Estados Unidos, pero que la mayoría de las infecciones se dirigieron a Rusia y Ucrania, donde más
de 80 empresas fueron atacadas, incluyendo el Banco Nacional de Ucrania.
Este malware utiliza ingeniería social para convencer a usuarios (o a administradores de redes) de
descargar un archivo que al abrirlo se autoextrae y ejecuta el troyano. Al ejecutarse aparece una
alerta de Windows. Si el usuario prosigue, Petya se aloja el registro de arranque principal del la
computadora de la víctima, desactiva el modo de inicio seguro de Windows y el equipo se reinicia.
Al reiniciar, aparecen ventanas de alerta indicando que el equipo ha sido secuestrado y cómo
acceder al sitio de los secuestradores para pagar el rescate antes del vencimiento de un plazo de
tiempo. Al vencerse el plazo de tiempo, el monto del rescate se duplica.
Los primeros ataques observados ocurrieron en Alemania, con una campaña de mensajes dirigidos a
empresas de recursos humanos, donde un candidato incluye un enlace para descargar su currículo
desde Dropbox. Desde su descubrimiento, los antivirus han empezado a actualizarse, mientras que la empresa
Dropbox hizo lo suyo eliminando de sus servidores los archivos afectados allí alojados.
Fuente

LEAKERLOCKER

LeakerLocker

Después de los brotes de ransomware de WannaCry y Petya, una nueva y espeluznante (pero
bastante creativa) nueva variedad de ransomware se está propagando a través de aplicaciones falsas
en Google Play Store, esta vez dirigidas a usuarios móviles de Android.
A diferencia de los ransomware tradicionales, el ransomware de Android no cifra archivos en el
dispositivo de la víctima, sino que colecciona colectivamente imágenes personales, mensajes y
historial de navegación y amenaza con compartirlos con sus contactos si no pagan U$S 50.
Los investigadores de la firma de seguridad McAfee descubrieron el ransomware de LeakerLocker
en al menos dos aplicaciones – Booster & Cleaner Pro y Wallpapers Blur HD – en Google Play
Store, ambas con miles de descargas.Para evadir la detección de la funcionalidad maliciosa, las aplicaciones inicialmente no contienen
ninguna carga malintencionada y la función típica como aplicaciones legítimas.
Pero una vez instaladas por los usuarios, las aplicaciones cargan código malicioso de su servidor de
comando y control, que les ordena recopilar una gran cantidad de datos confidenciales del teléfono
de la víctima, gracias a que sus víctimas conceden permisos innecesarios ciegamente durante la
instalación.
El ransomware de LeakerLocker entonces bloquea la pantalla de inicio y muestra un mensaje que
contiene detalles de los datos que afirma haber robado y contiene instrucciones sobre cómo pagar el
rescate para asegurar que la información se elimina.
El mensaje de rescate dice:
*Todos los datos personales de su teléfono inteligente se han transferido a nuestra nube segura.
*En menos de 72 horas estos datos serán enviados a cada persona en su teléfono y lista de contactos
por correo electrónico. Para abortar esta acción usted tiene que pagar un rescate modesto de U$S 50
.
*Tenga en cuenta que no hay forma de eliminar sus datos de nuestro servidor pero si pagando por
ellos.
*Apagar o incluso dañar su teléfono inteligente no afectará sus datos en la nube.

Datos Afectados por LeakerLocker

A pesar de que el ransomware afirma que ha tomado una copia de seguridad de toda su información
confidencial, incluyendo fotos personales, números de contacto, SMS, llamadas y localizaciones
GPS y la navegación y la historia de la correspondencia, los investigadores creen que sólo una
cantidad limitada de datos sobre las víctimas.
Según los investigadores, LeakerLocker puede leer la dirección de correo electrónico de una
víctima, contactos aleatorios, la historia de Chrome, algunos mensajes de texto y llamadas, tomar
una foto de la cámara y leer información de algunos dispositivos.
Toda la información anterior se selecciona al azar para mostrarla en la pantalla del dispositivo, lo
cual es suficiente para convencer a las víctimas de que se han copiado muchos datos.
Ambas aplicaciones maliciosas han sido eliminadas por Google desde Play Store, pero es probable
que los hackers intenten introducir su software en otras aplicaciones.
Si ha instalado cualquiera de las dos aplicaciones, desinstálela ahora mismo.
Pero si usted es golpeado por el ransomware y está preocupado por sus selfies y fotografías
atractivas que se filtran a sus amigos y parientes, puede ser que esté pensando de pagar un rescate.
No pague el rescate! Hacerlo motiva a los ciberdelincuentes para que lleven a cabo ataques
similares, y tampoco hay garantía de que la información robada sea borrada por los hackers de su
servidor y no sea usada para chantajear a las víctimas de nuevo.

Fuente

¿Cómo prevenirse?

1 – Mantener actualizados los sistemas operativos y antimalware y antivirus, en el caso de wannacry
ya existían parches para los sistemas antes de que ocurriese el ciberataque mundial. No descargar,
abrir o ejecutar software de procedencia dudosa.
2 – Backups periódicos, principalmente de la información más delicada e importante de la empresa
o el usuario.

¿Qué hacer en caso de estar afectado?

Llamar a un especialista, ya sea un técnico, licenciado o ingeniero de confianza. Recuerde que en caso de estar afectado lo que está en juego son sus datos, empresariales y/o personales.

Ransomware

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *