La anatomía de Cryptolocker Ransomware

La Anatomía de Cryptolocker Ransomware

El concepto de mantener sus datos a cambio de un rescate es nuevo, pero no ha dejado de ser incipiente. Millones de dólares han sido recaudados por atacantes en todo el mundo. Los métodos tradicionales, que generalmente incluyen violar la capa de seguridad, penetrar en el sistema, tomar el control y vender los datos, se eliminan. En cambio, los datos se cifran utilizando la infraestructura de clave pública. –  Cryptolocker –Los archivos de las unidades mapeadas, extraíbles y instaladas localmente se enumeran y ciertos archivos están encriptados, generalmente documentos como Office, PDF, CSV, etc. La clave privada de los archivos cifrados está en manos del atacante y la víctima es forzada a pagar un rescate en intercambio por ello. Se presenta una nota de rescate a la víctima cuando intenta acceder a cualquiera de los archivos.

Los ataques generalmente son de tres puntas. La primera parte es cuando el sitio comprometido o un archivo tiene un kit de explotación, ya sea Angler o Nuclear, que redirige a las víctimas para descargar un malware de un sitio sombreado. Publica qué, el malware ejecuta y encripta los archivos. Simultáneamente, las notas de rescate se escriben en cada carpeta. A menudo, se crea una clave de registro generada aleatoriamente para realizar un seguimiento de los archivos cifrados.

La Anatomía de Cryptolocker Ransomware
La Anatomía de Cryptolocker Ransomware

Un usuario tiene cuatro opciones:

– Pague el rescate

– Reinstalar desde el respaldo

– Perder los archivos

– Fuerza bruta la clave

En caso de que la víctima acepte pagar, el atacante normalmente exige un pago promedio de entre $ 500-700 USD con Bitcoin. El valor del rescate varía con la cantidad de archivos cifrados. Y si la víctima no paga dentro del tiempo pedido, el rescate se duplica o triplica. – Cryptolocker –

Cómo sucede

El correo electrónico sigue siendo el vector de varios ataques. Debido a que es la facilidad con la que los ataques tienen éxito, el correo electrónico es un vector viable. Los documentos maliciosos comunes son documentos de oficina y descargas directas. Se envían a las víctimas alegando que son una factura o un fax. Cuando está abierto, está protegido. Y el usuario debe abrir otro documento para obtener instrucciones para habilitarlo. Una vez que el usuario sigue los pasos, se ejecuta la macro, se entrega la carga útil y comienza la infección. Normalmente, el nombre de archivo real-.docm-está enmascarado con la extensión.doc. – Cryptolocker – El sombreado del dominio es otra forma de infectar a los usuarios. El malware real se entrega desde un subdominio generado aleatoriamente de un dominio legítimo. Implica comprometer la cuenta DNS de un dominio y registrar varios subdominios, y luego usarlos para el ataque.

Este éxito financiero probablemente haya llevado a una proliferación de variantes de ransomware. En 2013, se introdujeron variantes de ransomware más destructivas y lucrativas, como Xorist, CryptorBit y CryptoLocker. A principios de 2016, se observó una variante destructiva de ransomware, Locky, infectando computadoras pertenecientes a centros de salud y hospitales en los Estados Unidos, Nueva Zelanda y Alemania. Samas, otra variante del ransomware destructivo, se utilizó para comprometer las redes de centros de salud en 2016. – Cryptolocker –A diferencia de Locky, Samas se propaga a través de servidores web vulnerables.

El verdadero costo del ataque

Los atacantes nunca revelan el rescate que se está recolectando. Entonces, las investigaciones generalmente llegan a un callejón sin salida, dejando a las agencias de investigación confiando en la especulación. Según el FBI, las víctimas informaron alrededor de $ 18 millones de pérdidas entre abril de 2014 y junio de 2015. El rescate real pagado puede ser insignificante, pero el costo asociado, tanto monetario como reputacional, podría ser colosal. Los costos de tiempo de inactividad, el costo financiero, la pérdida de datos y la pérdida de vidas (registros de pacientes comprometidos) son el verdadero impacto que una organización tiene después de un ataque. – Cryptolocker – Si bien el impacto inicial puede ser considerable, los efectos a largo plazo de un ataque pueden ser mucho más costosos.

Quién lo está haciendo

Gameover Zeus botnet, botnet punto a punto basado en los componentes del troyano Zeus, fue responsable de la mayoría de los ataques. El cibercriminal ruso Evgeniy Mikhailovich Bogachev, que tiene alias en línea: << Slavik >>, << lucky12345 >>, << Pollingsoon >>, << Monstr >>, << IOO >> y << Nu11 >>, según los informes, está asociado con Gameover Zeus. El 24 de febrero de 2015, el FBI anunció una recompensa de $ 3 millones a cambio de información sobre el supuesto autor intelectual.

Cual es la solución

Adoptar un enfoque de varias capas para la seguridad reduce al mínimo las posibilidades de infección. Symantec tiene una estrategia que protege contra el ransomware en tres etapas:

Prevenir – Prevenir los ataques es, de lejos, la mejor medida. El correo electrónico y el kit de explotación son los vectores de infección más comunes para el ransomware. Adoptar una defensa robusta reducirá cualquier evento injustificado. – Cryptolocker – Respaldar sus datos regularmente es más importante de lo que a uno le gustaría pensar. El uso de servicios de filtrado de correo electrónico, prevención de intrusiones, protección del navegador y protección de exploits son algunas de las medidas preventivas que se deben tomar.

Contener : en el caso de una infección, la acción inminente para realizar es contener la propagación de la infección. El software antivirus avanzado, el aprendizaje automático y el emulador contienen el virus que afecta a todo su sistema.

Responda : las organizaciones pueden tomar medidas para manejar tácticamente la situación. La determinación del ataque primario para comprender la intención del atacante es esencial. Concentrarse solo en el ransomware no te dará el escenario completo. – Cryptolocker – En muchos casos, el escritor de malware deja las lagunas desatendidas, un experto analista de malware puede aplicar ingeniería inversa al ransomware y encontrar una manera de recuperar los datos.

La seguridad cibernética

La seguridad cibernética

El mayor crecimiento y adopción de las tecnologías web 2.0, las plataformas que permiten la publicación de contenidos generados por los usuarios, ha llevado a la creación de otra dimensión en la que la existencia humana llamó el ciberespacio.- Seguridad cibernética  –En el ciberespacio, las personas interactúan tal como lo hacen en el espacio físico. Se socializan, dirigen negocios, estudian, comparten y almacenan materiales, e incluso confían activos altamente valorados (en términos de información) para facilitar el acceso, la disponibilidad y la seguridad.

La seguridad cibernética
La seguridad cibernética

La seguridad cibernética es esencial para gobernar las conductas y las maneras de interactuar con los sistemas informáticos y otros usuarios en la ciberseguridad. Sin un sentido de seguridad, varias actividades como el comercio electrónico, la socialización sin preocupaciones, las redes de negocios y similares no serían posibles y, por lo tanto, pondrían un obstáculo en esta era de la tecnología móvil y de la información.

Ciberseguridad vs Computadora / Información / Seguridad de la red: –

Aunque estos términos a veces se usan indistintamente, en realidad son diferentes. La seguridad informática, la seguridad de la red y la seguridad de la información se centran exclusivamente en la protección de los componentes de los sistemas informáticos y los datos / información creados, almacenados o transmitidos en los sistemas o a través de ellos. La ciberseguridad va un paso más allá para ocuparse de la posibilidad de que un usuario pueda ser víctima de un delito cibernético. – Seguridad cibernética  – Existen delitos como las violaciones de los derechos de propiedad intelectual en las que los componentes del sistema no son víctimas, son meros medios utilizados para facilitar el delito y el propietario de los derechos es la víctima.

Seguridad cibernética desde el ángulo legal: –

Diferentes países tienen diferentes leyes que imponen la ciberseguridad. Tomando como ejemplo la República Unida de Tanzania, la Ley de delitos cibernéticos de 2015 regula las conductas y la responsabilidad de las partes en el ciberespacio. Para todos los ejemplos dados arriba y muchos más, la ley claramente guía lo que se debe hacer. También proporciona guías legales sobre cómo los usuarios deben interactuar en el ciberespacio, utilizar dispositivos y sistemas, así como la responsabilidad de todas las partes involucradas en cualquier interacción en el ciberespacio.

Cyber ​​y la industria de la salud: –

La industria de la salud ha aparecido en las 5 principales industrias atacadas por los delincuentes cibernéticos desde hace varios años. El ataque de ransomware WannaCry a principios de este año que afectó a muchos fideicomisos de salud en Inglaterra y Escocia puso el impacto de la amenaza cibernética en la vanguardia de los medios y el debate político en el período previo a las elecciones generales de 2017. Entonces, ¿por qué alguien querría atacar a la salud y cuáles son las amenazas?