Así funciona un “Ransomware”, el virus que tiene en jaque a BancoEstado y es la principal ciberamenaza en Chile

Así funciona un “Ransomware”, el virus que tiene en jaque a BancoEstado y es la principal ciberamenaza en Chile

Se trata de uno de los códigos maliciosos de mayor crecimiento en el mundo, donde un hacker captura los computadores de una empresa u organización y luego pide un rescate.

En mayo de 2017, el planeta se vio asolado con una amenaza cibernética poco conocida a esa fecha: un ransomware bautizado como WannaCry, que logró afectar computadores en alrededor de 150 países, incluido Chile.

El ransomware es un tipo de ataque cibernético cuya función es ingresar a una red de equipos, capturar la información que hay en ella y luego pedir un rescate por su liberación.

Se trata del tipo de ataque de mayor crecimiento en el mundo, debido a la eficacia que genera en estos secuestradores virtuales, y las ganancias que generan. Muchas organizaciones sencillamente pagan el rescate, sobre todo cuando se trata de ataques críticos.

El ataque parece ser muy sofisticado, pero su mecanismo es bastante burdo. Se calcula que el 56% de los ataques llegan a través de un correo electrónico, ya sea con un archivo descargable y ejecutable (del tipo “ve la última foto de Angelina Jolie”) o bien un link a un sitio (“pincha aquí para obtener dinero gratis”) desde el cual se descarga el programa malicioso.

Aquí es cuando el pirata encripta los archivos o carpetas más importantes y comienza la negociación. A través de herramientas de comunicación anónimas, el secuestrador informa que el computador ha sido tomado como rehén y que para liberarlo, necesitará pagar una fianza.

“El ransomware en general no roba ni accede al contenido de la información, sino que bloquea el acceso a ella”, la mayoría de las empresas trabajan con redes compartidas de información, ”una infección puede propagarse rápidamente a través de la red, infectando no solo las estaciones de trabajo de los empleados, sino también los servidores y bases de datos de la compañía, donde muchas veces se aloja la información crítica y sensible”.

Tal como una toma de rehenes real, incluso ofrece liberar algunos archivos como prueba de su poder. Luego de eso, empiezan las demandas: si no se paga la suma requerida en una cantidad de tiempo, se perderá el acceso a esos archivos para siempre.

Gabriel Jefferies, licenciado en Ciencias de la Comunicación de la U. Mayor, dice que este rescate, generalmente se cobra por medio de monedas electrónicas o bitcoins.

“Todas las instituciones financieras son un blanco muy atractivo para este tipo de ataques, por eso siempre tienen el desafío de estar constantemente con los máximos niveles de seguridad, buscando brechas, fallos de seguridad donde podrían eventualmente generarse las oportunidades para desplegar un ataque de estas características”, explica.

Ransomware, la principal ciberamenaza en Chile

De acuerdo a la 24 edición del Informe Anual de Seguridad (ISTR) elaborado por la empresa de ciberseguridad Symantec, el cual analiza a 157 países y detalla los principales hallazgos alrededor de las amenazas globales, tendencias y motivaciones de los ciber delincuentes, Chile se ubicó en el quinto lugar de países más propensos a los ciberataques, tras Argentina en el cuarto lugar, Venezuela en tercer puesto, México en segundo y Brasil, en el primer lugar.

El informe se basa en ocho métricas que representan las principales fuentes de amenazas. Estos son: malware, spam, phishing hosts, bots, ataques de red, ataques Web, ransomware y cryptojacking. Cada vector de amenaza está ponderado por igual para el riesgo al analizar los datos.

¿Cómo se diferencia de los demás ransomware? ¿Tiene alguna característica especial?

Los ransowares son exactamente iguales, lo que los cambia es la firma o el rastro conocido que ellos dejan. Existen unas figuras centralizadas a nivel mundial que se encargan de recolectar la información de este tipo de malware de software malicioso y de acuerdo a los comportamientos lo que hacen es detectar un perfil de comportamiento de ese software cuando se está ejecutando y a partir de ahí detectan si es o no es un software malicioso.

Entonces cuando uno compara el Sodinokidi contra los demás, probablemente lo que se ha hecho es modificar ese perfil de comportamiento. En este caso Sodinokidi está por ahí por debajo, oculto, y eso que está corriendo haciendo de la suyas. En comparación con los otros ramsonware son muy comunes, el comportamiento probablemente es el mismo de primero buscar información, luego identificarla y encriptar los volúmenes de información. Una vez esté encriptado, la persona o el dueño de la información ya no tiene acceso a ella.

En qué se diferencia de los demás, probablemente en la firma del comportamiento. Entonces eso hace que cada vez los ciber delincuentes le van cambiando la firma de manera que no sea posible rastrearlo fácilmente. Ahora, existen mecanismos que sí lo pueden hacer y no son completamente infalibles, pero pueden ayudar.

¿Qué vía utiliza un ransomware de estas características para ingresar?

Pueden utilizar un vector de propagación o un vector de entrada, que es el vector de entrada más potencial y comúnmente usado por todos los ramsonware y es atacar el eslabón más débil de la cadena, que es el usuario final.

Entonces lo atacan probablemente a través de un email con phishing y le hacen creer al usuario final que el correo electrónico proviene desde la entidad certificada y es un correo autorizado porque resulta que física y visualmente tiene el mismo “look and feel”, los mismos logos, las mismas cosas. Son copias exactas de un correo habitual y lo que hace es que en el momento en que el usuario lo abre, inclusive muchas veces ni siquiera tiene que hacer click en alguna parte, hacer absolutamente nada, solamente con abrir el correo electrónico probablemente ya pueden estar descargando sin darse cuenta un software o una copia de un software.

¿Qué consejos se le pueden entregar a los usuarios?

La medida que una empresa debe tomar es proteger, no es solamente proteger el perímetro, ya que está científicamente comprobado y especialmente con la pandemia, que la seguridad perimetral o la construcción de un perímetro seguro desapareció completamente. Toda organización debe focalizarse en proteger los computadores, los servidores y las aplicaciones, con mecanismos de prevención, protección y remediación que busquen este tipo de software.

Entonces de las plataformas y herramientas de anti ramsonware existen y pueden existir de dos tipos: las que previenen y protegen contra ataques conocidos y las que te protege contra lo que llaman a ATP (advanced threat protection) o “actividades del día cero” que es una actividad con un software de un día cero que no existe anteriormente una firma o un comportamiento de ese esa aplicación y, por lo tanto, lo que hace no es buscar el comportamiento de un software sino buscar el comportamiento, por ejemplo, de tu computador, Entonces revisa si tu computador está funcionando y de un momento a otro empieza a encriptar información, esa es una alerta y no porque exista una aplicación que se esté comportando rápido, sino porque no es normal que tú computadora esté encriptado información y eso mismo sucede con los servidores.

Entonces lo que las empresas tienen que hacer es buscar herramientas que prevengan y protejan el comportamiento anómalo de los servicios que utilizan los servidores, los computadores y las aplicaciones expuestas. No es normal que un computador esté encriptado información o que un servidor esté encriptado información y mucho menos en volúmenes grandes, porque cuando te lanzan un ransomware y se encuentra la base de datos de los usuarios, puede pesar muchos gigas, son archivos gigantescos y eso de un momento a otro si arranca encriptar, es un tema anormal. Entonces cuando tienes esas detecciones de anormalidades usualmente eso es reportado como un evento.

Por lo anterior, no solamente las organizaciones deben protegerse con herramientas para la protección y para la prevención sino que tienen que tener un mecanismo de remediación y usualmente la remediación es lo que conocemos como un servicio de correlación de eventos. Es decir si hay un evento que dice que estás encriptado información en un volumen muy grande alguien con conocimiento del tema tiene que ir a decir “oye eso sí es normal o eso no es una actividad normal” con el fin de determinar cuándo son falsos positivos o cuando realmente te están atacando. Eso es lo que usualmente conocemos como un servicio de correlación de eventos de seguridad, porque usualmente un ramsonware no ataca solamente computadores, ataca servidores y busca, al propagarse, cualquier sistema de cómputo, cualquier sistema operativo para poder hacer ese tipo de actividades. Entonces toda organización tiene que buscar cómo proteger y prevenir no solamente para ramsonware que son bien conocidos sino también para ramsonwares del “día cero”

El principal consejo es que todos los ciber delincuentes conocen que la forma más eficiente es atacar al usuario final, entonces si una organización invierte millones de dólares comprando equipos para protegerse y literalmente va a ser absolutamente inútil si el usuario final le mandas un archivo y le da doble clic al archivo y lo ejecuta. Por ello, toda estrategia de seguridad de una organización tiene sí o sí que llevar primero una política de seguridad y esa política de seguridad se la tienes que transmitir a tus usuarios finales a través de un proceso de adopción y cultura de la ciberseguridad. Es decir, hacerle entender a los empleados, a los clientes y a todas las personas que tienen contacto con esa organización y con la información que se distribuye, que existen riesgos de ciberseguridad y que existe un protocolo que está establecido en esas políticas de seguridad para que esas personas sepan cómo actuar y qué deben hacer cuando perciban algún tipo de comportamiento inusual.

Por ejemplo, no es normal que un banco te mande un correo contactando y diciendo que actualice su cuenta o que su cuenta ha sido bloqueada, haga clic aquí para desbloquearla. Entonces, siempre se debe sospechar, siempre es mejor si llega un correo del banco, llamar y consultar. Los bancos no solicitan las claves, pero aún así hay personas que caen. Son millones de usuarios.

La recomendación es que una organización no sólo debe invertir en infraestructura para proteger y para prevenir y ahora en estos últimos tiempos infraestructura y servicios de remediación sino que tiene que tener adecuadamente documentadas y definidas sus políticas de seguridad y hacer un proceso cultural con sus usuarios para que entiendan la responsabilidad que ellos desempeñan dentro de la cadena de custodia de la información, porque ellos son el eslabón más débil ahí es donde van a atacar a la gran mayoría de organizaciones y especialmente a los bancos.

En los bancos no atacan la infraestructura central porque saben que ellos han invertido muchos millones de dólares para protegerlo, donde atacan es a los usuarios finales y la gente entra al recibir un correo que dice que tiene todos sus productos bloqueados. En ese sentido, las personas que suelen caer están por encima de los 30 años, que además son las personas que más dinero manejan. Usualmente son las personas que más fácilmente entregan esa información porque para ellos no es extraño, suelen pensar que el banco es proactivo y le está advirtiendo del bloqueo de sus productos y le contestan y en el momento en que le responden, que hacen cualquier actividad, inclusive con solo abrir el correo electrónico, el ramsonware se aprovecha las vulnerabilidades del sistema operativo.
Fuente: Laterceraonline

Comparte esta noticia!

    Youtouch

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

    Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>