CRYPTOWORMS: El Futuro Infierno de los RANSOMWARE

worm_16_04_2016-e1460765524172-800x445
http://www.kcemonuk.com/wp-content/uploads/2016/04/worm_16_04_2016-e1460765524172-800x445.jpg

Por: José Miguel Bolaños – Ingeniería SISAP

En este artículo se hablará un poco sobre el secuestro de información que se hace a través de los randsomware, sus variantes y evolución de estos a través del tiempo.

Los ransomware son hoy por hoy una pesadilla para todo administrador de TI, el futuro de estos son los cryptoworms que están prontos a llegar y son descritos como un infierno viviente por los investigadores.

También advirtieron que la auto propagación de ransomware (el tipo semi-autónomo que no necesita ninguna ayuda de los seres humanos para extenderse) se viene en el futuro. El informe de Cisco Talos, "Ransomware: Pasado, Presente y Futuro" en primer lugar se adentra en los "rasgos de cepas altamente eficaces de malware de auto-propagación" antes de discutir cómo los ransomware podrían evolucionar para incluir estas herramientas de gran alcance, integradas como aquellos en los gusanos y las redes bots.

En cuanto a la historia, vamos a ver en una variante ransomware a partir de febrero. Locky es hoy en día el ransomeware más conocido y que más afecta a empresas latinoamericanas, utilizado en el ataque al “Hollywood Presbyterian Medical Center”. Cuando Locky, que utiliza archivos de Word infectados para difundirse era nuevo, había 100.000 nuevas infecciones por día; en un momento había entre una y cinco nuevas infecciones de punto final por segundo. Si sólo una cuarta parte de las 100.000 víctimas diarias pagó el rescate de 0.5 bitcoins, que es aproximadamente $213, entonces los cyberthugs estaban tirando en más de $5 millones por día. Incluso si Cisco Talos sugirió que solo alrededor de un 2,9% de las víctimas diarias pagó el rescate, lo que significa que los ladrones sacaron un aproximado de $546.795 al día, eso es un impresionante botín. Así que no es demasiado difícil ver por qué los criminales están subiendo al tren loco ransomware para sacar provecho.

Ahora bien en el día a día existen los ataques de tipo gusanos que perversa y eficazmente podría infectar millones de ordenadores y paralizar las redes corporativas con las estaciones de trabajo conectadas. Ahora imagine las características de los ataques tipo gusanos unidos a la tecnología de los ransomware sería como una de las pesadillas más grandes de cualquier administrador de TI y a esto se le llama los ransomware de la próxima generación.

Los cibercriminales están buscando herramientas más eficientes para realizar sus ataques y así poder secuestrar la información de los usuarios finales, así como se vinieron las variantes como Locky también existen otras como TeslaCrypt que es un randsomware tipo Troyano, en un principio estaba dirigido a los juegos de PC, este ya no solo cifra archivos Word, Excel, ppt, etc: sino que esta variante también cifra archivos como .avi, .html, .png, etc. También tenemos la variante Jigsaw que es un ataque que cifra los archivos de la PC infectada y cada hora elimina información secuestrada por el mismo, esta es eliminada cada vez que reinicias tu PC o cada vez que se reinicia el programa.

De esta manera podemos identificar que los cibercriminales están utilizando tecnología más moderna para hacer más eficaces los ataques y es agregándole módulos de los “virus” de la vieja escuela.
Ejemplos de módulos que se podrían utilizar en el cripto-ransomware del futuro, incluyen una que analiza el ordenador en busca de archivos ejecutables que no están protegidas por las características de seguridad incorporadas. Otro módulo sería la caza de las unidades locales y remotas mapeadas y luego tener en función un autorun para acceder a cualquier ordenador al que las unidades están conectadas. Un módulo diferente explotaría debilidades conocidas en infraestructuras de autenticación populares y luego utilizar estas credenciales para proporcionar acceso a otros sistemas. Otros módulos pueden ayudar a mantener el cryptoworm oculto y así evitar que sea descubierto, así que olvídase de descubrirlo a través de comandos de control regulares o con herramientas básicas de seguridad.

Cryptoworms como una evolución de Samas



Samas Ransomware utiliza herramientas de Pen-testing para propagarse y así infectar a los usuarios finales. Samas, o Samsam, fue al parecer utilizado en el ataque a “MedStar Health”; Cisco Talos emitió una advertencia sobre Samsam, acerca de cómo “el médico le verá, después de que pague el rescate”, unos pocos días antes de que la organización que administra 10 hospitales fuera atacada. La campaña SamSam es inusual, ya que está tomando ventaja de las técnicas de ejecución remota en lugar de dirigirse al usuario final.

Si usted no tiene una política de backups en su empresa, le recomiendo que la tome en cuenta, ya que el talón de Aquiles de los ransomware es un confiable backup, sin importar que tecnologías utilicen los cibercriminales para atacar su organización, si usted está protegido con diferentes herramientas de seguridad pero a la vez tiene sus respaldos al día no tiene de que preocuparse.

Fuentes:
http://www.computerworld.com/article/3055488/security/cryptoworms-the-future-of-ransomware-hell.html
https://www.grahamcluley.com/2016/04/cryptoworms-future-ransomware/
http://blog.talosintel.com/2016/04/ransomware.html

No hay comentarios

Agregar comentario