¡Págueme o… Pierde sus Datos! = ExtortionWare

principal-01

Ransomware - Los Esquemas Utilizados – Parte III
Jorge Utrera – ERI SISAP


En el artículo anterior listamos algunas variantes de código malicioso tipo Ransomware, dirigido a las diferentes plataformas de sistemas operativos (Windows, OSX, Android). En el presente documento, revisaremos detalles de algunas de las familias de ransomware existentes.


Para utilizar el término moderno en referencia a la popularidad (en este caso, negativa) de temas en redes sociales o Internet en general, el "fenómeno" Ransomware se volvió literalmente viral.
APWG - Grupo Anti-Phishing reporta un incremento de más del 250% de mensajes tipo Phishing globalmente comparado con el último trimestre del año 2015 y más del 90% correspondiendo a ataques de Ransomware. Este tipo de ataque selecciona principalmente como objetivos a las empresas, más que a usuarios individuales, porque las empresas tienen los fondos para pagarles (US$500.00 por computadora hasta US$ 15,000.00 por toda la empresa). En otras palabras, nos están llegando ataques de Ransomware por todos lados. Inclusive existe RaaS - ver Tox.


Trucos/Variantes que utiliza Ransomware

1 Crysis – Ransomware - Número 1 mundial - Junio 2016

Capaz de encriptar más de 185 tipos de archivos, incluyendo archivos sin extensión. En esencia, este tipo de Ransomware, encripta casi todos los archivos de la computadora. Borra “Shadow Copies” (Respaldo de volumen/disco) y se enquista en el Registry de Windows, convirtiéndose en malware de tipo APT – Advanced Persistent Threat.





2Rompecabezas- Junio 2016

Borrado de archivos en intervalos de tiempo fijos, para aumentar la urgencia del pago de la extorsión. Funciona de la siguiente manera: por cada hora que pasa en la que la víctima no paga el monto, se borra un archivo del disco duro cifrado, no recuperable, aunque se pague posteriormente la extorsión. El código malicioso también borra 1,000 archivos extra, cada vez que la víctima re arranca la computadora e ingresa a Windows. Surgen 5 nuevas variantes en junio 2016.







3RansomWeb, Kimcilware

Cifrado de servidores web. RansomWeb, Kimcilware son dos familias de Ransomware que toman esta ruta inusual - en lugar de ir tras computadoras de usuarios, infectan los servidores web a través de las vulnerabilidades y las bases de datos de sitios web y cifran archivos almacenados, por lo que el sitio web queda inutilizable, hasta que se pague el rescate.










4DMA Locker, Locky, Cerber and CryptoFortress

Cifrado de unidades de red, incluso aquellas que no están asignadas/mapeadas. DMA Locker, Locky, Cerber y CryptoFortress son familias que tratan de enumerar todos los recursos compartidos de red - Server Message Block (SMB) y encriptan cualquiera que encuentran.






5RansomWeb, Kimcilware

Maktub ransomware comprime de primero los archivos para acelerar el proceso de cifrado.







6Not safe in the cloud

Eliminación o sobrescritura de respaldos/backups en la nube. En el pasado, efectuar las copias de seguridad de sus datos a la nube o carpeta compartida era seguro. Sin embargo, nuevas versiones de ransomware han sido capaces de atravesar estos sistemas de carpetas compartidas que las hace susceptibles al ataque.





7 SimpleLocker

Dirigido a plataformas No-Windows. SimpleLocker cifra los archivos en Android, mientras que Linux.Encode.1 cifra los archivos en Linux, y KeRanger en OSX.





8 Cerber

Utilizando el altavoz de la computadora para anunciar mensajes de audio a la víctima. El Ransomware Cerber genera un VBScript, titulado "# DECRYPT MIS # archivos .vbs", que permite a la computadora "hablar" el mensaje de rescate a la víctima. Sólo habla en idioma Inglés, pero el sitio web de descifrado que utiliza puede ser personalizado en 12 idiomas. El mensaje hablado dice: "¡Atención! ¡Atención! ¡Atención! "" Sus documentos, fotografías, bases de datos y otros archivos importantes han sido cifrados! "




9Tox

Ransomware como servicio es un modelo ofrecido en las redes y foros subterráneos. TOX Ransomware es un servicio que proporciona el código malicioso, la infraestructura para facilitar la transferencia de fondos y la clave de cifrado para que la víctima pueda recuperar su información.





10Petya

Este Ransomware cifra el disco duro entero, encriptando la tabla maestra de archivos. Esta tabla contiene toda la información sobre cómo se asignan los archivos y carpetas.





11-01TeslaCrypt – Criminales arrepentidos

Era Ransomware (desde febrero 2015) especializado en búsqueda de lo menos 40 diferentes juegos y sus extensiones, tales como Call of Duty, World of Warcraft, Minecraft, World of Tanks, etc.

En Mayo de 2016, los desarrolladores de TeslaCrypt cerraron la operación y liberaron la llave de encripcion maestra, pidiendo disculpas en el sitio de pago de la extorsión.





REFERENCIAS
http://docs.apwg.org/reports/apwg_trends_report_q1_2016.pdf
http://www.csoonline.com/article/3074431/data-breach/tricks-that-ransomware-uses-to-fool-you.html

No hay comentarios

Agregar comentario