Este año hemos sido testigos de dos ataques ransomware a gran escala, hablamos de los peligrosos WannaCry y ExPetr (conocido como Petya o NotPetya), y hace pocas semanas conocimos al malware denominado Bad Rabbit. Estos ataques han dejado en evidencia vulnerabilidades importantes presentes en los sistemas informáticos. Como hemos visto las nuevas tecnologías evolucionan al mismo tiempo que lo hacen sus amenazas. Siendo usuarios de las mismas tenemos herramientas para protegernos y debemos aprovecharlas, una de ellas es la información.
Por eso en esta oportunidad vamos a sacarnos las dudas acerca de lo que se trata esta nueva variante de programas nocivos denominda rasomware.
Ransomware es una categoría que corresponde a todo tipo de código malicioso que le exige al usuario el pago de un rescate para recuperar información. Una vez que infectó el equipo, este malware utiliza diferentes mecanismos para dejar los datos inaccesibles para el usuario, con el objetivo de extorsionarlo y exigirle el pago de una cantidad de dinero a cambio de recuperar el acceso a la información. Es importante entender que el ransomware en general no roba ni accede al contenido de la información, sino que bloquea el acceso a ella, al menos por ahora.
Las primeras variantes de ransomware bloqueaban la pantalla del usuario y utilizaban diferentes engaños para hacerle creer que tenía un problema o había cometido algún delito y debía pagar para solucionarlo. En la actualidad, existen nuevas variantes que utilizan algoritmos complejos de cifrado para bloquear la información y solicitar dinero a cambio de recuperarla. A diferencia de otros códigos maliciosos, el ransomware no busca pasar inadvertido, por el contrario: quiere llamar la atención de los usuarios infectados. Quizá muchas empresas se hayan infectado con códigos malicioso de los que jamás se han enterado, o hayan pasado varios días hasta que detectaron la infección. Lejos de esto, el ransomware se detecta en el momento, ya que el mismo código despliega un cartel dando aviso al usuario que su información es inaccesible y que debe pagar.
Existen dos variantes principales de código malicioso usado para extorsionar a sus víctimas. Por un lado, el ransomware de bloqueo de pantalla, más conocido como “lockscreen”, que impide el acceso al equipo.
Por otro lado, están los ransomware criptográficos, llamados “cryptolockers”, que son aquellos que cifran la información dentro del equipo, impidiendo el acceso a los archivos.
Lockscreen
El ransomware de tipo lockscreen se caracteriza por impedir el acceso y el uso del equipo mediante una pantalla de bloqueo, imposibilitando cualquier acción para cerrarla, abrir el administrador de tareas, los navegadores web o cualquier otra parte del sistema. En esta pantalla típicamente se muestra un mensaje donde se explica lo ocurrido y se solicita el pago de un rescate.Dado que esta variante no cifra los archivos, en estos casos la información podría recuperarse, ya que se puede extraer el disco rígido y luego limpiar el equipo de la infección. Por esta misma razón, este malware suele utilizar engaños y trucos de ingeniería social para persuadir al usuario a que pague el rescate.
Cryptolockers
El ransomware de tipo criptográfico, por su parte, utiliza diversos algoritmos de cifrado para bloquear el acceso a los archivos del usuario. Una vez que se apodera de un sistema, se inicia el cambio en la estructura de los archivos y documentos, de manera tal que solo se podrán volver a leer o utilizar tras restaurarlos a su estado original, lo cual requiere del uso de una clave conocida únicamente por los ciberdelincuentes. En la mayoría de los casos, el ataque afecta solo a ciertos archivos, siendo los de ofimática los más comúnmente perjudicados.Una vez finalizada la infección, se despliega una pantalla que indica que los archivos han sido cifrados y explicando al usuario el proceso de pago de una cantidad de dinero a cambio de la clave para descifrar la información.
Para seguir aprendiendo mas acerca de esta nueva amenaza puedes ver este corto video.
Fuente: welivesecurity.com
ESET Latinoamérica
