Después de muchos años de evolución, el Ransomware (forzar a la víctima a pagar un rescate por tener acceso a su información) se ha convertido en una de las categorías de malware más dominantes de nuestro tiempo. La amenaza es conocida por bloquear las computadoras o encriptar los archivos para engañar a los usuarios y pedirles dinero. EL Ransomware ha tenido una difusión mundial ya que, según la telemetría de Symantec, 11 de los 12 países más afectados por el Ransomware en los últimos 12 meses son los estados miembros, directos o indirectos, de la organización del G-20. Los países más afectados son EE.UU., Japón, Reino Unido e Italia.
Con la creciente difusión de los dispositivos conectados, como las computadoras portátiles y el Internet de las Cosas (IoT), el Ransomware puede estar en la cúspide de otro salto evolutivo. En nuestra última investigación, nos enteramos de que no sería difícil para la actual generación de Ransomware dar un salto, de los teléfonos móviles, a los dispositivos portátiles como los relojes inteligentes. Antes de entrar en este tema, vamos a echar un vistazo hacia atrás, a los orígenes del Ransomware, a dónde ha estado y hacia dónde es probable que vaya.
Antes de que hubiera Ransomware…
Es fácil pensar en el Ransomware como un problema moderno, pero el concepto data de hace 26 años. El primer caso documentado de Ransomware fue el troyano AIDS, en 1989. La amenaza se propagó a través de correo contenido en disquetes de 5¼ ", cifró archivos en las computadoras y, después, pidió a los usuarios pagar para descifrarlos. Por supuesto, el troyano AIDS no se presentó como Ransomware, pero utilizó el mismo truco que vemos hoy en día: la sanción por, supuestamente, utilizar software sin licencia.
Si bien el troyano AIDS puede ser el primer Ransomware, en realidad fueron aplicaciones engañosas y, más tarde, falsos antivirus fueron los productos que dieron inicio a la tendencia de la extorsión digital que conocemos actualmente. Como el Ransomware, las aplicaciones engañosas y los falsos antivirus fueron diseñados para generar ingresos de manera fraudulenta a través de los usuarios.Las aplicaciones engañosas eran comunes en 2005. Estas aplicaciones presentaban problemas informáticos falsos a las víctimas y les pedían pagar por licencias de software para solucionarlos. Los falsos antivirus ganaron popularidad entre 2008 y 2009, la evolución de la táctica de las aplicaciones engañosas. Dichas estafas intentan convencer a los usuarios de que su equipo está infectado con malware y empujarlos a pagar por licencias de software fraudulentas.
Con los años, el público se volvió más educado acerca de las aplicaciones engañosas y los falsos antivirus. Como resultado, entre 2011 y 2012, los atacantes se mudaron al Ransomware como campañas de cibercrimen por elección. Comenzaron con campañas de Locker Ransomware que bloqueaba el equipo y exigía el pago para desbloquearlo. A partir de 2013, cambiaron a Crypto Ransomware, que cifraba los archivos importantes en el equipo y solicitaba el pago para descifrarlos.
Locker Ransomware y Crypto Ransomware utilizan diferentes técnicas para lograr el mismo fin: forzar a la víctima a pagar para restaurar el acceso a sus archivos.Locker Ransomware: "Pagar US $200 de multa o ir a la cárcel"
Locker Ransomware tiende a depender más de la ingeniería social que Crypto Ransomware para convencer a las víctimas de pagar. En particular, Locker Ransomware utiliza con frecuencia estratagemas legales a modo de aplicación, mostrando notificaciones de aspecto oficial acusando a la víctima de delitos graves y, al mismo tiempo, el bloqueo del ordenador y exigiendo el pago de una multa para desbloquear el sistema. Convenientemente, el Ransomware afirma que, si el usuario paga, entonces será dado de baja cualquier cargo por persecución criminal. Locker Ransomware utiliza imágenes oficiales para tratar de convencer a la víctima de que las acusaciones son legítimas.
Figura 1. Palabras típicas utilizadas en las pantallas de demanda de Locker Ransomware
Locker Ransomware también solicita, normalmente, pagar el rescate utilizando cupones. La víctima puede ir a una tienda de conveniencia y cambiar efectivo por un código de cupón. El código puede ser utilizado para pagar por bienes y servicios, por lo general en línea. El monto promedio exigido por un Locker Ransomware es de US $ 200.
Los usuarios deben tener presente que las leyes actuales no permiten la emisión electrónica de multas por infracciones cometidas en un ordenador. La condena por cualquier delito requiere una cuidadosa recopilación de pruebas y representación en la corte antes de que pueda ser llevada a un juicio. Se muy escéptico ante mensajes o avisos que indiquen lo contrario, ya que es un signo de estafa.
Si estás infectado con Locker Ransomware, considera los siguientes consejos:
• No pagar el rescate, ya que, incluso después de pagar, el Ransomware podría no desbloquear el equipo.
• La mayoría de Locker Ransomware se puede quitar de las computadoras afectadas utilizando herramientas gratuitas como Norton Power Eraser o SymHelp.
Ransomware Crypto: "Pagar cuota de US $300 dólares o perder sus archivos"
En lugar de inventar leyes inexistentes para amenazar a las víctimas, Crypto Ransomware simplemente se anuncia como un intento de extorsión al pedir a la víctima pagar una cuota para descifrar sus archivos.
La razón por la que los atacantes de Crypto Ransomware pueden hacer esto es porque creen tener un férreo control sobre los archivos de la víctima. El Crypto Ransomware moderno utiliza técnicas de cifrado estándar de la industria, combinando algoritmos de cifrado simétrico y asimétrico para realizar cifrados de archivos más rápido y de forma más segura; esto significa que, una vez que se cifran los archivos, no hay forma práctica de descifrarlos sin las claves necesarias.
Crypto Ransomware suele requerir más conocimientos técnicos para poder quitarlo. Además del uso de cifrado fuerte, los ciber-delincuentes detrás de estos esquemas son conscientes de la necesidad de seguridad operacional y toman medidas para ocultar su infraestructura de red en la “oscuridad” de la web. También obligan a las víctimas a comunicarse con ellos a través de redes anónimas, como Tor o I2P.
En términos de pago, Crypto Ransomware tiende a pedir un monto más alto que Locker Ransomware. Por lo general, exige un rescate de US $300 dólares, aunque las cantidades reales pueden variar, dependiendo del país. Crypto Ransomware pide, generalmente, el pago mediante bitcoins para ayudar a proteger la identidad de los delincuentes cibernéticos que están detrás del esquema.
La clave para protegerse contra Crypto Ransomware es evitar, primero, que el cifrado suceda.
• Usa una buena solución de seguridad multicapa para evitar que el Ransomware se instale en el equipo o se comunique con un servidor remoto.
• Los sistemas de protección de reputación pueden ayudar a bloquear archivos sospechosos al ejecutarse.
• Ten siempre una copia de seguridad de los archivos y datos que sean importantes. Respalda todo con regularidad y haz varias copias en medios online y offline para estar seguro.
• Desafortunadamente, en muchos casos, una copia de seguridad es la única solución de recuperación. No recomendamos pagar el rescate, ya que, al hacerlo, perpetuará el problema. Ten en cuenta que, incluso si pagas, los ciberdelincuentes pueden no descifrar los archivos.
Figura 2. Los dos lados del Ransomware: multa contra rescate
Ransomware en la muñeca
Antes, hemos observado que las tendencias tecnológicas están empezando a presentar nuevas oportunidades para que los ciber-delincuentes aumenten el alcance del Ransomware. Somos testigos de la proliferación de la tecnología en nuestros hogares para el entretenimiento, climatización, seguridad, y mucho más; Nuestros medios de transporte también se han visto afectados, ya que hay coches inteligentes que son vulnerables.
Una tendencia que ha llamado recientemente la atención del público es el SmartWatch. Mientras que Google introdujo, por primera vez, el sistema operativo Android. SmartWatch llegó al público a principios de 2014, y su reciente llegada ha dado a este sector un impulso significativo, creando un mercado incipiente para aplicaciones, que los desarrolladores han comenzado a atender.
Los dispositivos Android Wear están diseñados para estar a la par de un dispositivo con las funciones más completas, como un teléfono o tableta Android. El sistema operativo permite el uso de aplicaciones de Android existentes para acceder a ciertas funciones del dispositivo sin trabajo extra. Pero si los desarrolladores quieren aprovechar realmente las características de los dispositivos portátiles más pequeños, pueden escribir aplicaciones específicamente para ellos.
El proceso de instalación de una aplicación en un Android Wear está diseñada para ser una experiencia perfecta. Si una aplicación instalada tiene un componente Android Wear o si fue creada para Android Wear, la aplicación automáticamente será llevada desde el dispositivo móvil hacia el Smartwatch.
Figura 3. Las aplicaciones Android están instalados en el teléfono y son instaladas en el Smartwatch
Teniendo en cuenta que ya hay amenazas de Ransomware en circulación para dispositivos móviles Android, decidimos probar cómo un dispositivo Android Wear podría verse afectado por una de ellas. Para hacer esta prueba, simplemente tuvimos que cargar un Ransomware actual para Android .apk (Android.Simplocker) en un nuevo archivo de Android Wear.
A continuación, tomamos un Smartwatch Moto 360 y lo sincronizamos con un teléfono Android. Cuando instalamos el nuevo archivo .apk en el teléfono, se encontró que el teléfono se infectó con el Ransomware, como se esperaba. A medida que el Smartwatch fue sincronizándose con el teléfono, el Ransomware también fue instalado en el SmartWatch. Una vez instalado en el Smartwatch, el malware podía ser ejecutado por el usuario, pensando que podía ser una aplicación útil.
Después de que se ejecuta el Ransomware, que causa que el Smartwatch quede prácticamente inutilizable. Simplocker tiene una rutina que comprueba la visualización del mensaje de rescate cada segundo, esta actividad nos impide acceder al dispositivo. Simplocker también encripta una gama de diferentes archivos almacenados en la tarjeta SD del Smartwatch. Este escenario da lugar al término Ransomware, "Ransomwear", o que puedes usar.
Ve nuestro video
Hasta ahora, no hemos visto ningún Ransomware diseñado específicamente para Smartwatches. Si quieres ver cómo trabajaría, hemos creado un video para mostrarte cómo se instala el Ransomware Simplocker en un Smartwatch y cómo se comporta una vez en él.
Recuperación y mitigación
Una vez que Simplocker se está ejecutando en el Smartwatch, sólo se puede desinstalar desde el teléfono con el que está sincronizado. Si puedes hacer esto, entonces Simplocker será automáticamente retirado del Smartwatch; si no es posible y el teléfono se restablece a su configuración de fábrica, entonces necesitas hacer lo mismo en el Smartwatch. La opción de restablecimiento de fábrica sólo es accesible a través del menú de reloj, pero no es posible entrar mientras Simplocker está activo.
En nuestras pruebas, hemos encontrado que manteniendo pulsado el botón de hardware en el reloj 30 segundos, el dispositivo se apagará. Cuando se reinicia el dispositivo, hay una lapso de aproximadamente 20-30 segundos antes de Simplocker reinicie. Este es el tiempo justo para empezar el proceso de restablecimiento de fábrica y limpiar el Smartwatch. El inconveniente es que todos los archivos del reloj se perderán, y esos archivos habrían sido cifrados por la amenaza antes de esto.
Para reducir el riesgo de infecciones de malware en los dispositivos portátiles, los usuarios deben tomar algunas precauciones básicas:
• Evita instalar aplicaciones de fuentes desconocidas/no confiables.
• Comprueba los permisos al instalar aplicaciones para asegurarte de que sean apropiados para el tipo de aplicación que estás instalando. Por ejemplo, ¿un juego realmente tiene que ser capaz de acceder a tu lista de contactos o enviar un SMS?
• Usa una solución de seguridad adecuada en tu dispositivo móvil.
• Mantén tu software al día
• Realiza copias de seguridad frecuentes de los datos importantes.
¿Quieres saber más?
Si deseas obtener más información sobre los diferentes aspectos del Ransomware mencionado en este blog, por favor, descarga y lee nuestro whitepaper: La evolución del Ransomware.