QUE ES? Ransomware - Wanna Cry

Comencemos por contarles de este tipo de virus., Ransomware. El nombre proviene del término sajón “Ransom” que define la exigencia de pago por la restitución de la libertad de alguien o de un objeto, es decir, un secuestro. De todas formas, también se suele denominar a estos ataques como criptovirus.

El nacimiento de estos tipos de ataques data del año 1989, cuando vía correo postal fueron distribuidos a empresas farmacéuticas, diskettes que supuestamente contenían información, al ejecutar los archivos se producían los efectos del ataque: Que incluían el cifrado de su información de la víctima y el pedimento de dinero en rescate.

ACTUALIDAD

El Ransomware es el virus con el que se realiza el ataque en este momento y es una evolución de aquello que paso vía postal en 1989 y con el virus denominado “Virus de la Policía” o también llamado “Virus Ukash” (2011 – 2013), denominado así por que los delincuentes utilizaban el logotipo de la policía para pedir dinero como multa a cambio de desbloquear los ordenadores infectados, con la excusa de que se habían consultado paginas xxx. Pedofilia, Etc.

Los atacantes normalmente no se esconden cuando utilizan un ransomware, ya que facilitan un contacto a través de una página web o un correo electrónico para indicar la cantidad que hay que pagar para rescatar los datos.

Como hemos visto estos ataques llevan décadas usándose y se han incrementado en los últimos años, y aunque la variante “WannaCry” es relativamente nueva, para nada pueden decir las autoridades cibernéticas que desconocían los efectos de los virus tipo Ransomware, ya que este tipo de virus tiene años en funciones, lo que más me asombra no es el virus en sí, o porque no se ha hecho nada relevante para impedir su proliferación?, sino porque ahora, justo en este momento de gran tensión mundial?, porque atacar simultáneamente varios continentes?, y porque?, por qué?  Y más por qué? de los cuales hasta ahora no tengo respuesta, pero si muchas especulaciones.

La amenaza continúa (y tiene difícil solución)

Como ataca

Uno de sus trucos más exitosos es falsear la dirección de correo del remitente, lo que hace creer a las víctimas que el 'email' viene de una institución oficial o de una empresa conocida y confiable, como sucedió en años anteriores con las supuestas facturas de Endesa y Vodafone, las cartas certificadas de Correos y los avisos de Hacienda.

Parece una factura de teléfono o un mensaje de Hacienda, pero al abrirlo codifica todos los archivos del ordenador de su víctima y le pide un rescate para recuperarlos.

Principalmente el virus ha entrado mediante un correo electrónico infectado, el virus "WannaCry", que tras abrirlo se instala en el ordenador y se expande por las redes internas de las empresas reptando a través de las carpetas de archivos compartidos. El programa secuestra la información de la computadora (lo que se llama "ransomware") y los raptores de estos datos piden un rescate, de unos 300 euros a pagar en bitcoins (una moneda virtual), para que el propietario pueda recuperarla. Microsoft ya había lanzado hace unos meses una actualización para solucionar este problema, pero los afectados no actualizaron sus ordenadores.

Cuál es la finalidad del ataque

Se ha hablado mucho de las consecuencias y consejos para evitar ser atacado, pero me pregunto cuál es el fin de este ataque?, públicamente se pide un rescate por tus archivos secuestrados y se quiere que se piense que el pago de dinero (Bitcoins) es la finalidad de este ataque, pero un ataque como este a escala global sin duda el dinero no es el fin y por otro lado cuanta infraestructura se necesita para coordinar y ejecutar un ataque de este tipo?.

Quien o quienes son los responsables

El creador de CryptoLocker fue un ruso de 31 años, Evgeniy Bogachev, por el cual el FBI ofrecía una recompensa de tres millones de dólares por cualquier pista sobre su paradero.

Pero actualmente dar con el o los responsables de estos ataques es muy difícil, ya que casi cualquier persona tiene hoy por hoy en sus manos el poder de realizar este tipo de ataques, y hay detenciones en contadísimas ocasiones. Para lanzar sus campañas de millones de 'emails', usan servidores legítimos que han 'hackeado'. No hay pruebas, como documentos de alquiler de los equipos, no hay rastro en los 'hackeos' y los rescates se cobran en 'bitcoins'. Cuando han 'quemado' un país, se van a otro, explica Díaz: "Cada equis semanas van lanzando campañas de 'emails' a distintos países, rotando en distintos idiomas para conseguir nuevas víctimas". Josep Albors, jefe de Concienciación e Investigación de ESET, añade: "El simple hecho de que el 'email' esté en español ya hace que mucha gente pique".

Desde Forbes incluso sugirieron que un arma de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de Estados Unidos podría ser la responsable del caos.

Según la publicación, hace unas semanas un equipo de hackers llamado ‘Shadow Brokers’ robaron una gran carga de herramientas que presuntamente pertenecerían a la NSA, y parece que una de ellas, un exploit de Microsoft Windows llamado ‘EternalBlue’, sería el método utilizado para incrementar rápidamente la infección por ‘Wanna Cry’.

Que hacer para protegerse

El ataque aprovechó un error de seguridad en el sistema operativo de Microsoft (Windows)

Si bien no hay un método para que estemos 100 por ciento protegidos, podemos aplicar ciertas acciones a fin de que le cueste más a los hackers robar nuestra información:

·       Mantener actualizado el sistema operativo y aplicaciones como antivirus.

·   Se recomienda instalar cuanto antes el patch oficial de Microsoft que cierra la vulnerabilidad utilizada para realizar el ataque.

·       Contar con una herramienta que chequee nuestro equipo gradualmente.

·       Evitar descarga de archivos sospechosos.

·       Tener una copia de seguridad actualizada de los ficheros más importantes.

·       Otra buena opción es instalar “Anti-Ransom”: esta herramienta  “permite detectar que el sistema está siendo víctima de un ataque Ransom y actuar de una forma rápida salvando en muchos casos la mayoría de ficheros importantes”

·       Aplica CryptoPrevent para sellar Windows Los virus secuestradores suelen instalarse en Windows aprovechando el Registro, el archivo oculto en el que se guarda la configuración del PC. Puedes evitar la mayoría de infecciones si blindas el Registro contra este tipo de agresiones.  Se hace con CryptoPrevent.

·       Usa un bloqueador de publicidad en tu navegador En la mayoría de casos, los virus secuestradores entran desde descargas o anuncios engañosos en las páginas web que visitas. Cuando haces clic en ellos, se baja un archivo; si lo abres se acabó, estás infectado. Puedes evitar todo esto usando un bloqueador de anuncios. Uno de los mejores bloqueadores de anuncios es uBlock, que consume menos recursos que AdBlock Plus y es totalmente gratuito. No tienes que hacer nada: uBlock para todo tipo de publicidad nada más activarse.

·       No abrir ningún archivo que tenga por extensión .exe aunque este venga camuflageado con una imagen de Excel, Power Point, Word, Etc. (A menos que conozcas previamente el programa que estas intentando ejecutar).

Si ya has sido infectado por CryptoLocker, el pago no te da garantías,  la mejor opción es poner tu equipo en cuarentena para evitar que se propague: desconéctalo, consulta con algún experto y, si has conseguido recuperar tu equipo, cambia tus contraseñas por seguridad. 

El problema con el ransomware es que la solución es a nivel preventivo. Tras una infección, recuperar los sistemas es complicado y hay que sustituir aquellos que estén dañados por copias de seguridad. 

No nos equivoquemos. Una cosa es que las personas que se dediquen a desarrollar este virus sean buenos y otra que se lo pongamos demasiado fácil. Por ello, intenta que tu equipo no sea “secuestrable” e instala antivirus, lee las cosas con atención antes de hacer clic y sigue los consejos de los expertos en seguridad.

El peligro de los ransomware es alto, y el caos que puede generar a muchos usuarios y empresas como ha sucedido este viernes resulta alarmante.

“Este es uno de los ataques de ransomware más grandes que la comunidad cibernética haya visto en algún momento“, sugirió Rich Barger, director de investigación de amenazas en Estados Unidos, sobre ‘Wanna Cry’.

Suerte, continuamos informando.

Atte. SEGELER