A finales de 2013 aparecieron los primeros ataques de lo que iba a convertirse en uno de los negocios más lucrativos de los ciberdelincuentes. Cryptolocker es el nombre de la familia más popular dentro de los ransomware, por lo que ha acabado siendo utilizado como nombre común que engloba a todas las amenazas de este tipo.
El funcionamiento básico es siempre el mismo, sin apenas variaciones a nivel conceptual: cifrar documentos y pedir un rescate para poder recuperarlos.
Normalmente geolicalizan la dirección IP de la víctima para mostrar el mensaje con las instrucciones para pagar el rescate en el idioma del país correspondiente. Los pagos se piden en Bitcoin, y el contacto con los delincuentes se tiene que realizar a través de la red TOR para impedir que las fuerzas del orden puedan rastrearles.
A lo largo de 2014 se fueron popularizando estos ataques, en primer lugar con usuarios domésticos como víctimas para meses más tarde dar el salto al entorno corporativo, ya que les resultaba mucho más lucrativo: la información secuestrada era más valiosa, y el rescate de unos 300€ (depende de familias y variantes, los 300€ es el precio más común) era algo asumible por las empresas víctimas de estos ataques.
En 2015 hemos visto como han mejorado los ataques para tratar de saltarse todas las defensas:
- Ya no cometen fallos a la hora de cifrar los ficheros. Estos fallos nos permitían a las compañías de seguridad crear herramientas para recuperar los documentos sin pagar el rescate.
- Han aparecido nuevas familias: al tratarse de un negocio que aporta pingües beneficios, más bandas de delincuentes se están incorporando a la “moda” de cryptolocker.
- Todos recurren como medio de pago al Bitcoin, para evitar que se pueda seguir el rastro del dinero.
- Se han centrado en dos vías de distribución:
- A través de Exploit Kits
- Por correo electrónico con adjunto comprimido
- Están innovando y creando nuevas formas de ataque, por ejemplo hemos comenzado a ver scripts de PowerShell que viene por defecto en Windows 10.
- En el apartado móvil, aunque se han visto algunos ataques (como el que cambiaba el código de acceso al móvil) aún son algo anecdótico y no están muy extendidos.
Cómo protegernos de Cryptolocker
De cara a protegernos, debemos recordar que Cryptolocker tiene necesidades diferentes a las del malware tradicional: no es persistente (una vez cifrados los documentos no necesita seguir en el sistema, de hecho algunas variantes se borran a sí mismas), no les importa que los antivirus les detecten (simplemente necesitan que cuando lanzan el ataque no sean detectados, que unas horas después se detecten es ya demasiado tarde y se habrán salido con la suya).
Las tradicionales detecciones por firmas y heurísticas son bastante inútiles, ya que antes de lanzar un ataque probarán que dichas tecnologías no puedan detectar la muestra, y si no es así la cambiarán hasta conseguir pasar inadvertidos. El análisis de comportamiento no es capaz de detectar lo que hacen en la mayoría de los casos, normalmente se inyectan en procesos del sistema para desde ahí cifrar los ficheros, haciendo ver que son operaciones normales.
Sólo un sistema que monitorice todo lo que se ejecuta en los ordenadores desde su entrada, como hace Adaptive Defense 360, puede llegar a ser un método eficaz para parar estos ataques a tiempo, antes de que lleguen a poner en peligro nuestros documentos.
[button link=”https://www.pandasecurity.com/es/business/adaptive-defense/” color=”green1″ icon=”” size=”medium”]DEMO ADAPTIVE DEFENSE 360[/button]