La anatomía de Cryptolocker Ransomware - Towerbon Skip to content
Towerbon

La anatomía de Cryptolocker Ransomware

La Anatomía de Cryptolocker Ransomware

El concepto de mantener sus datos a cambio de un rescate es nuevo, pero no ha dejado de ser incipiente. Millones de dólares han sido recaudados por atacantes en todo el mundo. Los métodos tradicionales, que generalmente incluyen violar la capa de seguridad, penetrar en el sistema, tomar el control y vender los datos, se eliminan. En cambio, los datos se cifran utilizando la infraestructura de clave pública. –  Cryptolocker –Los archivos de las unidades mapeadas, extraíbles y instaladas localmente se enumeran y ciertos archivos están encriptados, generalmente documentos como Office, PDF, CSV, etc. La clave privada de los archivos cifrados está en manos del atacante y la víctima es forzada a pagar un rescate en intercambio por ello. Se presenta una nota de rescate a la víctima cuando intenta acceder a cualquiera de los archivos.

Los ataques generalmente son de tres puntas. La primera parte es cuando el sitio comprometido o un archivo tiene un kit de explotación, ya sea Angler o Nuclear, que redirige a las víctimas para descargar un malware de un sitio sombreado. Publica qué, el malware ejecuta y encripta los archivos. Simultáneamente, las notas de rescate se escriben en cada carpeta. A menudo, se crea una clave de registro generada aleatoriamente para realizar un seguimiento de los archivos cifrados.

La Anatomía de Cryptolocker Ransomware
La Anatomía de Cryptolocker Ransomware

Un usuario tiene cuatro opciones:

– Pague el rescate

– Reinstalar desde el respaldo

– Perder los archivos

– Fuerza bruta la clave

En caso de que la víctima acepte pagar, el atacante normalmente exige un pago promedio de entre $ 500-700 USD con Bitcoin. El valor del rescate varía con la cantidad de archivos cifrados. Y si la víctima no paga dentro del tiempo pedido, el rescate se duplica o triplica. – Cryptolocker –

Cómo sucede

El correo electrónico sigue siendo el vector de varios ataques. Debido a que es la facilidad con la que los ataques tienen éxito, el correo electrónico es un vector viable. Los documentos maliciosos comunes son documentos de oficina y descargas directas. Se envían a las víctimas alegando que son una factura o un fax. Cuando está abierto, está protegido. Y el usuario debe abrir otro documento para obtener instrucciones para habilitarlo. Una vez que el usuario sigue los pasos, se ejecuta la macro, se entrega la carga útil y comienza la infección. Normalmente, el nombre de archivo real-.docm-está enmascarado con la extensión.doc. – Cryptolocker – El sombreado del dominio es otra forma de infectar a los usuarios. El malware real se entrega desde un subdominio generado aleatoriamente de un dominio legítimo. Implica comprometer la cuenta DNS de un dominio y registrar varios subdominios, y luego usarlos para el ataque.

Este éxito financiero probablemente haya llevado a una proliferación de variantes de ransomware. En 2013, se introdujeron variantes de ransomware más destructivas y lucrativas, como Xorist, CryptorBit y CryptoLocker. A principios de 2016, se observó una variante destructiva de ransomware, Locky, infectando computadoras pertenecientes a centros de salud y hospitales en los Estados Unidos, Nueva Zelanda y Alemania. Samas, otra variante del ransomware destructivo, se utilizó para comprometer las redes de centros de salud en 2016. – Cryptolocker –A diferencia de Locky, Samas se propaga a través de servidores web vulnerables.

El verdadero costo del ataque

Los atacantes nunca revelan el rescate que se está recolectando. Entonces, las investigaciones generalmente llegan a un callejón sin salida, dejando a las agencias de investigación confiando en la especulación. Según el FBI, las víctimas informaron alrededor de $ 18 millones de pérdidas entre abril de 2014 y junio de 2015. El rescate real pagado puede ser insignificante, pero el costo asociado, tanto monetario como reputacional, podría ser colosal. Los costos de tiempo de inactividad, el costo financiero, la pérdida de datos y la pérdida de vidas (registros de pacientes comprometidos) son el verdadero impacto que una organización tiene después de un ataque. – Cryptolocker – Si bien el impacto inicial puede ser considerable, los efectos a largo plazo de un ataque pueden ser mucho más costosos.

Quién lo está haciendo

Gameover Zeus botnet, botnet punto a punto basado en los componentes del troyano Zeus, fue responsable de la mayoría de los ataques. El cibercriminal ruso Evgeniy Mikhailovich Bogachev, que tiene alias en línea: << Slavik >>, << lucky12345 >>, << Pollingsoon >>, << Monstr >>, << IOO >> y << Nu11 >>, según los informes, está asociado con Gameover Zeus. El 24 de febrero de 2015, el FBI anunció una recompensa de $ 3 millones a cambio de información sobre el supuesto autor intelectual.

Cual es la solución

Adoptar un enfoque de varias capas para la seguridad reduce al mínimo las posibilidades de infección. Symantec tiene una estrategia que protege contra el ransomware en tres etapas:

Prevenir – Prevenir los ataques es, de lejos, la mejor medida. El correo electrónico y el kit de explotación son los vectores de infección más comunes para el ransomware. Adoptar una defensa robusta reducirá cualquier evento injustificado. – Cryptolocker – Respaldar sus datos regularmente es más importante de lo que a uno le gustaría pensar. El uso de servicios de filtrado de correo electrónico, prevención de intrusiones, protección del navegador y protección de exploits son algunas de las medidas preventivas que se deben tomar.

Contener : en el caso de una infección, la acción inminente para realizar es contener la propagación de la infección. El software antivirus avanzado, el aprendizaje automático y el emulador contienen el virus que afecta a todo su sistema.

Responda : las organizaciones pueden tomar medidas para manejar tácticamente la situación. La determinación del ataque primario para comprender la intención del atacante es esencial. Concentrarse solo en el ransomware no te dará el escenario completo. – Cryptolocker – En muchos casos, el escritor de malware deja las lagunas desatendidas, un experto analista de malware puede aplicar ingeniería inversa al ransomware y encontrar una manera de recuperar los datos.