Alerta alta..CRITERIOS A SEGUIR PARA PREVENIR ATAQUES DE RANSOMWARE.

CRITERIOS A SEGUIR PARA PREVENIR ATAQUES DE RANSOMWARE.

unnamed

El objetivo de este tipo de código dañino es cifrar el mayor número posible de ficheros almacenados en la máquina de la víctima haciéndolo de tal manera que el usuario no se percate de lo que está sucediendo hasta que el sistema se encuentre comprometido.

 

Una vez que ha terminado el proceso del secuestro de la información.

Se informa de ello al usuario dándole instrucciones para el pago de un rescate (ransom, del inglés) a cambio de la recuperación de sus ficheros.

El comprometimiento del sistema se plasma generalmente en un nuevo fichero de texto que aparece en cada uno de los directorios cifrados, bien en forma de un llamativo fondo de escritorio con una nota de rescate o en una ventana persistente en la que se dan las instrucciones y los enlaces a seguir para realizar el correspondiente pago.

 

Figura 2.- Ejemplo de sistema infectado.

 

 

 

En casi todos los casos de ransomware, es común solicitar un pago no trazable para la recuperación de los ficheros. Este pago suele hacerse en criptomonedas1 (cryptocurrency) como es el caso de Bitcoin2.

Para evitar ser identificado, el secuestrador recibe el dinero del rescate a través de redes con un alto grado de anonimato, como puede ser el caso de la red Tor3 (The Onion Routing). De esta forma, los cibercriminales consiguen no dejar rastro resultando casi imposible su localización.

En cuanto a los vectores de infección utilizados por este tipo de código dañino para comprometer los equipos de sus víctimas, hay que prestar especial atención a la navegación web y al empleo de correos electrónicos. De hecho, el Phishing4 representa más de una cuarta parte del total de las infecciones por ransomware.

 

 

VECTORES DE INFECCIÓN.

 

  1. Phishing mediante correo electrónico.

 

Uno de los mecanismos de infección más frecuentes entre los distintos tipos de ransomware ha sido el correo electrónico, utilizando un mensaje aparentemente inocuo y legítimo.

 

  1. Mediante enlace web

 

Este tipo de infección consiste en dirigir a la víctima hacia un sitio web que puede ser legítimo pero que los cibercriminales han alterado previamente “troyanizado

puede ser una copia prácticamente idéntica, que resulta indistinguible de la versión legítima.

En ambos casos, la víctima invoca consciente o inconscientemente la descarga de una aplicación ejecutable, en principio no sospechosa, tras la cual se oculta el código dañino.

 

  1. Mediante fichero adjunto.

 

En este caso, el propio mensaje de correo electrónico lleva consigo un fichero semánticamente relacionado con el texto del mensaje y que bajo alguna excusa (falso informe bancario, formularios, imágenes, curriculum vitae, etc.) invita y consigue que la víctima lo abra, operación que desencadena la ejecución del código dañino.

 

  1. Navegación Web.

 

Este es el método de infección cuya popularidad está más en alza en los últimos tiempos. Consiste en aprovechar las vulnerabilidades de algunos componentes del navegador y los servidores que ofrecen las páginas web.

Los responsables de las campañas de ransomware, se encargan previamente de hacerse con el control de esos servidores y comprometer las páginas que ofrecen, incluyendo en ellas contenido dañino que explota las debilidades del navegador. De este modo, provocan que el navegador del usuario termine descargándose código binario que inmediatamente se ejecuta, iniciando el proceso de infección.

Para evitar este tipo de infecciones lo único que se puede hacer es utilizar la versión más actualizada del navegador y de sus extensiones. En principio, es recomendable tener bloqueados todos aquellos componentes que no sean estrictamente necesarios. Algunos de los plugins más utilizados son Flash Player, Java y Silverlight.

Uno de los principales problemas de los plugins es que aumentan significativamente la exposición a determinado tipo de ataques durante la navegación web. Algunos de estos plugins contienen un gran número de vulnerabilidades críticas que permiten a los atacantes ejecutar código en el equipo de la víctima.

Tan sólo hace falta que el usuario haga clic o navegue hasta una página dañina para que su equipo sea comprometido (sin necesidad siquiera de descargar o interactuar con la página en cuestión). La mayor parte de los navegadores permiten habilitar o deshabilitar los componentes instalados. Puede ser una buena opción, la de activar plugins de forma temporal como Flash y Java de manera controlada por el usuario.

Así mismo, conviene recurrir a complementos específicos para bloquear la apertura de pop-ups5, iframes, ejecución de código JavaScript y anuncios (Ads). Todos esos mecanismos pueden ser utilizados para obligar al navegador a cargar páginas que pueden estar comprometidas o sirven para ejecutar código dañino.