Sergi y Nil son técnicos en Ingens Networks. Han intervenido en diversos casos de infección por malwares tipo ransomware y nos contestan a las dudas más comunes sobre esta ciberamenaza, que en la actualidad puede afectar a cualquier empresa.
Ultimamente es muy común escuchar casos de de gente que se ha encontrado con que muchos de los archivos de su ordenador tiene un nombre diferente y no se pueden abrir, además a veces van acompañados de un documento que les exige un pago a cambio de volver a normalidad estos archivos. Mucha gente cree que es un virus. Pero sabemos que es más bien un tipo de malware, ¿Podrías explicarnos más sobre la amenaza Ransomware Cryptolocker?
Es correcta la afirmación que nos planteas. Este tipo de amenaza no es un virus, es un troyano. La diferencia reside en que un virus se propaga de forma imparable en una red o conjunto de redes, mientras que el troyano se realiza la ejecución una sola vez y de manera voluntaria por el usuario.
Aclarada la diferencia, conozcamos más a fondo esta amenaza, cuyo origen se remonta a finales de 2013 y está en constante expansión y crecimiento. Cada vez son más los tipos, versiones y maneras de atacar a un sistema informático, encriptando e inutilizando toda la información sensible del mismo. Los tipos más conocidos son los emails provenientes de correos, cuyo contenido hace entender que al usuario le ha llegado una carta certificada y debe recogerla. Se adjunta un link con los detalles de la recogida, cuyo link realmente descarga un ejecutable que realiza todo el proceso de encriptación. Otro bastante conocido es un email con una “factura” adjunta, cuyo fichero es un documento con macros, las cuales al ejecutarse comienzan el proceso de encriptación.
Existen muchas más variables y versiones, las cuales buscan nuevos métodos de encriptación para evitar ser detectadas por el software antivirus del equipo. Según un informe de seguridad elaborado por Kaspersky Lab, se calcula que han sido afectados unos 25.000 ordenadores en 2014, y más de 50.000 en el 2015. Se prevé que en el 2016 la cifra sea sustancialmente mayor.
"Los tipos más conocidos son los emails provenientes de correos, cuyo contenido hace entender que al usuario le ha llegado una carta certificada y debe recogerla (...) realmente descarga un ejecutable que realiza todo el proceso de encriptación"
¿Cómo puede perjudicar esta amenaza a los archivos de mi empresa?
Básicamente, una vez ejecutado el software por el usuario (entiéndase de manera involuntaria, y engañado por el formato del email o documento malicioso) el programa comienza a encriptar todos los ficheros conocidos de la máquina local. Los ficheros más comunes que encripta son documentos, hojas de cálculo, presentaciones, imágenes, PDFs, archivos comprimidos, etc… en resumen, archivos que se utilizan en el día a día de una empresa. Desde los formatos más conocidos hasta los formatos que no se utilizan tanto, cualquier archivo es susceptible de ser encriptado.
Además de realizarse la encriptación a nivel del equipo local, el software malicioso busca en los recursos compartidos de la red en los que tiene permisos de escritura, y también encripta todos los ficheros que puede modificar. Se entiende por ello que la amenaza no solo se produce a nivel de la máquina infectada, si no que se puede expandir a recursos compartidos, inutilizando todo tipo de archivos utilizados y necesarios por toda la empresa. Si esto ocurre, se produce un importante impacto en la producción laboral al no poder acceder a dicha información necesaria para los empleados de la empresa afectada.
En resumen, una ejecución de este software malicioso perjudicará la máquina local infectada y todo recurso remoto al cual tenga permisos de acceso, aumentando exponencialmente (y en muchos casos, gravemente) el impacto laboral en la empresa.
"Se calcula que han sido afectados unos 25.000 ordenadores en 2014, y más de 50.000 en el 2015. Se prevé que en el 2016 la cifra sea sustancialmente mayor"
¿Entonces si tengo un antivirus ¿no estoy a salvo?
Es correcto, cada vez salen más variantes de Cryptolocker y a más velocidad. El inconveniente principal es que ninguna variante actúa de la misma manera que la anterior, por lo que los proveedores de software antivirus no son capaces de parar esos ataques cada vez que sale un nuevo tipo, hasta que no aprenden la naturaleza del mismo.
Existe el término “zero-day” o día cero en este tipo de infecciones ransomware, el cual se aprovecha de una vulnerabilidad en la seguridad de un software, y lo hace antes de que el antivirus lo detecte como amenaza y evite su ejecución maliciosa. En resumen, aprovecha todo el tiempo posible antes de que los software antivirus sean capaces de detenerlo.
Esto contesta a la pregunta sobre si con un antivirus, uno puede estar a salvo. La respuesta es no en la mayoría de los casos, ya que si el ataque es reciente, no será identificado como amenaza por el antivirus y permitirá su ejecución. Se conoce que los antivirus tardan pocos días en incluir la amenaza en sus bases de datos, pero en la mayoría de casos el daño ya se ha producido con consecuencias irreversibles.
"Se conoce que los antivirus tardan pocos días en incluir la amenaza en sus bases de datos, pero en la mayoría de casos el daño ya se ha producido con consecuencias irreversibles"
¿Qué puedo hacer si ya he sido afectado? ¿Por qué no puedo descifrar mis archivos yo mismo con un programa de internet?
Si un equipo, o una red ha sido afectado por un ataque ransomware de encriptación, las únicas soluciones posibles de recuperar la información son:
Recuperar la información afectada desde una copia de seguridad reciente.
En caso de no disponer de copia, la única manera es realizando el pago reclamado por los piratas informáticos.
¿Por qué hay tan pocas opciones? ¿Uno mismo no puede desencriptar la información con un programa de internet? Rotundamente, no. Para comprender más a fondo esta respuesta, se requiere entender cómo funciona un ataque de este tipo.
1) Este software malicioso genera una clave pública y privada aleatoria, la cual envía a un servidor remoto ubicado en una red anónima. Esta red es irrastreable, por lo que el servidor remoto es anónimo y no se puede localizar.
2) Una vez el servidor anónimo tiene la clave privada y pública, se guarda la clave pública en la máquina infectada, la cual sirve para identificarte como “afectado” a la hora de realizar el pago.
3) Realizado este envío de clave, el software empieza a encriptar todos tus archivos de formato común (documentos, hojas de cálculo, presentaciones, imágenes, PDFs…) con un algoritmo de encriptación casi imposible de descifrar.
4) Acabada la encriptación de todos tus ficheros, se elimina la clave privada de la máquina infectada y se adjuntan unas instrucciones con tu clave pública, donde reclaman una cantidad de dinero en formato de Bitcoins, monedas cuyas transacciones son irrastreables.
5) En caso de realizar el pago, y una vez verificados por los piratas informáticos, te adjuntan un software que desencripta toda tu información y la deja tal y como estaba antes del ataque.
Es importante destacar que realizar el pago reclamado por los piratas supone fomentar la estrategia de chantaje, y supone exponerse al riesgo de no tener garantía de que con el pago se obtenga la clave de desencriptado. Las copias de seguridad deben estar al día siempre, para evitar “darles la razón” sobre su estrategia de conseguir dinero de manera fraudulenta.
¿Por qué el pago debe ser en Bitcoins? ¿Es seguro que recuperaré mis archivos si pago?
El pago se debe realizar en Bitcoins ya que es una moneda cuyas transacciones y operaciones son irrastreables. Gracias a esta ventaja para los piratas informáticos, permanecen en el anonimato y pueden cobrar el importe que piden en cada caso de encriptación.
De todas las variantes y versiones, los importes del rescate suelen rondar entre los 300€ y los 6000€ en Bitcoins, todo y que hay casos en que el importe es superior a las cifras mencionadas.
Aunque se efectúe el pago de Bitcoins pedidos para el rescate, no hay ningún tipo de garantía que asegure la desencriptación de los archivos, ya que esta transacción no se puede reclamar a nadie por ser, simplemente, anónima.
Las fuerzas de seguridad del Estado, especializadas en la seguridad informática, tienen obstaculizado el objetivo de encontrar a los piratas informáticos, ya que normalmente residen en países externos cuya cooperación con las fuerzas de seguridad del mismo son muy difíciles de llevar a cabo. Se puede hacer una idea de la gravedad del asunto, y en qué punto nos encontramos de la lucha contra esta amenaza.
"La ejecución de este software malicioso perjudicará la máquina local infectada y todo recurso remoto al cual tenga permisos de acceso, aumentando exponencialmente el impacto laboral en la empresa"
Por último, danos un par de consejos que nos ayuden para no caer en este tipo de ataques
Los consejos que se pueden ofrecer van orientados tanto a los usuarios finales como a los administradores de redes y sistemas.
A los usuarios: tened precaución de los mails que os llegan al correo, y especialmente de los archivos adjuntos y links que contienen. Cada vez disfrazan más el contenido malicioso en forma de alerta de carta certificada de correos, o de archivos adjuntos que simulan ser un simple documento pero que dentro contienen el programa que realiza el encriptado de los datos.
Procurad tener al día las copias de seguridad de vuestro equipo local, mediante unidades externas (USBs, discos duros externos…) y vigilad de no tenerlos siempre conectados al equipo ya que en el momento de la encriptación, el programa malicioso también encriptaría todos los archivos de la unidad externa, dejándolos inútiles e irrecuperables.
A los administradores TI: extremad la precaución sobre los usuarios finales, y realizad bloqueos de ejecución de todo tipo. Se pueden tomar medidas de precaución tanto a nivel de firewall como a nivel de sistema operativo, las cuales nunca son suficientes cuando nos referimos a ataques de este tipo. Bloqueos de archivos ejecutables, limitación de permisos en recursos compartidos, restricción de acceso a las redes anónimas…todo cuenta en la prevención de sufrir un ataque de esta amenaza, tan presente como peligrosa en la actualidad.
Aplicad siempre una constante política de copias de seguridad que garanticen una recuperación total de los archivos en caso de que se produzca la encriptación. Proteged con uñas y dientes las copias de seguridad, que no tengan acceso más que los administradores de sistemas.
Procurad aplicar la regla 3-2-1 del backup:
Recordad con frecuencia a los usuarios que sean cuidadosos con los emails que reciben, al final son ellos los que pueden evitar la ejecución de este software malicioso. Recordarles siempre que lo que se envía, no suele ser un CANAL/FORMA HABITUAL, por lo que desconfiar es PRIMORDIAL e inmediatamente avisar al equipo informático para su análisis y diagnóstico.
POR FAVOR EXTREMAD LAS PRECAUCIONES AL MÁXIMO, LA AMENAZA ES REAL, CONOCEMOS EMPRESAS QUE YA HAN SUFRIDO DAÑOS IRREPARABLES.
La moraleja que mejor aplica a esta situación, es que es mejor prevenir que curar, y más cuando se trata de la información sensible que contiene nuestra empresa.
Dejamos un par de jemplos conocidos:
El falso mail de correos
El "virus de la policia"
La falsa facturas de Endesa
¿Tienes dudas, necesitas asesoramiento o simplemente quieres más información? ¡No dudes en llámarnos!
Music: "Pigalle" by Jahzzar
From the Free Music Archive
http://freemusicarchive.org/music/Jahzzar/Paris_Lisboa/09_-_Pigalle
Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0)
Music: "Candy" by Jahzzar
From the Free Music Archive
http://freemusicarchive.org/music/Jahzzar/Tumbling_Dishes_Like_Old-Mans_Wishes/Candy_1380
Attribution-ShareAlike 4.0 Unported (CC BY-SA 4.0)