La amenaza creada en el 2013 se ha convertido en un negocio lucrativo para los ciberdelincuentes, según PandaLabs

 

Si bien es cierto que sabemos de la existencia de Cryptolocker desde finales de 2013 cuando se registraron los primeros ataques con este malware, en ese momento, la industria no se esperaba que se llegara a convertir en uno de los negocios más lucrativos de los ciberdelincuentes. Hoy, es el nombre de la familia más popular dentro de los ransomware, y ya es utilizado para englobar a todas las amenazas de este tipo.

El funcionamiento básico de este malware se mantiene con apenas variaciones a nivel conceptual: cifrar documentos y pedir a sus dueños un rescate en dinero para recuperarlos.

Normalmente, geolicalizan la dirección IP de la víctima para mostrar el mensaje con las instrucciones para pagar el rescate en el idioma del país correspondiente. Los pagos se piden en Bitcoin, y el contacto con los delincuentes se debe realizar a través de la red TOR para impedir que las fuerzas del orden puedan rastrearles.

Si bien a lo largo de 2014 se fueron popularizando estos ataques, en primer lugar con usuarios domésticos como víctimas, meses más tarde los ciberdelincuentes dieron el salto al entorno corporativo que les resultaba mucho más lucrativo: la información secuestrada era más valiosa; en Europa, el rescate de unos 300€ (depende de familias y variantes, los 300€ es el precio más común) era algo asumible por las empresas víctimas de estos ataques, comenta Luis Corrons, Director Técnico de PandaLabs, el laboratorio antimalware de Panda Security.

Agrega, que en 2015, los ciberdelincuentes han mejorado los ataques para tratar de saltarse todas las defensas:

  • Ya no cometen fallos a la hora de cifrar los ficheros. Estos fallos nos permitían a las compañías de seguridad crear herramientas para recuperar los documentos sin pagar el rescate.
  • Han aparecido nuevas familias: al tratarse de un negocio que aporta beneficios económicos, más bandas de delincuentes se están incorporando a la “moda” de Cryptolocker.
  • Todos los ciberdelincentes recurren como medio de pago al Bitcoin, para evitar que se pueda seguir el rastro del dinero.
  • Se han centrado en dos vías de distribución:

o         A través de Exploit Kits

o         Por correo electrónico con adjunto comprimido

  • Están innovando y creando nuevas formas de ataque, por ejemplo hemos comenzado a ver scripts de PowerShell que viene por defecto en Windows 10.
  • En el apartado teléfonos inteligentes, aunque se han visto algunos ataques (como el que cambiaba el código de acceso al teléfono inteligente) aún son algo anecdótico y no están muy extendidos.

 

Cómo protegernos de Cryptolocker

De cara a protegernos, debemos recordar que Cryptolocker tiene características diferentes a las del malware tradicional: no es persistente (una vez cifrados los documentos no necesita seguir en el sistema, de hecho algunas variantes se borran a sí mismas), no les importa que los antivirus les detecten (simplemente necesitan que cuando lanzan el ataque no sean detectados, que unas horas después se detecten es ya demasiado tarde y se habrán salido con la suya).

Las tradicionales detecciones por firmas y heurísticas son bastante inútiles, ya que antes de lanzar un ataque probarán que dichas tecnologías no puedan detectar la muestra, y si no es así la cambiarán hasta conseguir pasar inadvertidos. El análisis de comportamiento no es capaz de detectar lo que hacen en la mayoría de los casos, normalmente se inyectan en procesos del sistema para desde ahí cifrar los ficheros, haciendo ver que son operaciones normales.

Sólo un sistema que monitorice todo lo que se ejecuta en las computadoras desde su entrada, como hace Adaptive Defense 360, puede llegar a ser un método eficaz para parar estos ataques a tiempo, antes de que lleguen a poner en peligro nuestros documentos.

 

Más información sobre CryptoLocker

El CryptoLocker es una familia de ransoms cuyo modelo de negocio (si, el malware es un negocio) se basa en la extorsión al usuario. Se basa en el secuestro de los documentos del usuario y pedir un rescate por ellos (con tiempo límite para poder recuperarlos).

 

Cómo se instala CryptoLocker en el equipo

El CryptoLocker utiliza técnicas de ingeniería social, para conseguir que sea el propio usuario quien lo ejecute. Concretamente la victima recibe un correo, simulando provenir, por ejemplo, de una empresa de logística, que lleva adjunto un ZIP con contraseña.

Cuando el usuario abre el zip introduciendo la contraseña que le viene en el email, cree que dentro hay un fichero PDF y al abrir el falso PDF es cuando ejecuta el troyano. CryptoLocker se aprovecha de la política de Windows de ocultar las extensiones por defecto, de tal forma que el usuario es engañado “gracias” a esta característica de Windows.

En cuanto el usuario (la víctima) ejecuta el Troyano este se instala como residente en el equipo:

  • Realiza una copia de sí mismo en una ruta del perfil del usuario (AppData, LocalAppData)
  • Crea una entrada en los autoruns para asegurarse la ejecución al reinicio.
  • Ejecuta dos procesos de sí mismo fichero. Uno es el principal y otro para proteger el proceso original frente a cierres.