Alerta de US-CERT sobre los Ransomware

Alerta publicada por US-CERT "United States Computer Emergency Readiness Team" (Equipo de Preparación de Emergencia Informática de Estados Unidos), sobre los peligros de los ransomware.

A principios de 2016, las variantes de ransomware destructivas como Locky y Samas se observo  infectando las computadoras que pertenecen a particulares y empresas, que incluyendo centros de salud y hospitales en todo el mundo. El ransomware es un tipo de software malicioso que infecta un ordenador y restringe el acceso de los usuarios a la misma hasta que se pagó un rescate para desbloquearlo.

El Departamento de Estados Unidos de Seguridad Nacional (DHS), en colaboración con Ciber Centro de Respuesta a Incidentes de Canadá (CCIRC), es la liberación de esta Alerta a proporcionar más información sobre el ransomware, específicamente sus principales características, su prevalencia, las variantes que pueden estar proliferando, y cómo los usuarios pueden prevenir y mitigar ransomware.
Descripción

¿QUÉ ES ransomware?


Ransomware es un tipo de malware que infecta a los sistemas informáticos, la restricción del acceso de los usuarios a los sistemas infectados. variantes ransomware se han observado desde hace varios años y, a menudo tratar de extorsionar a las víctimas mediante la visualización de una alerta en pantalla. Por lo general, estas alertas afirman que los sistemas de los usuarios se han bloqueado o que los archivos del usuario han sido cifrados. Los usuarios se les dice que a menos que se pague un rescate, el acceso no se restaurará. El rescate exigido de los individuos varía mucho, pero con frecuencia es $ 200- $ 400 dólares y debe ser pagado en moneda virtual, como Bitcoin.
Ransomware a menudo se propaga a través de correos electrónicos de phishing que contienen datos adjuntos maliciosos o por medio de la unidad-descargando. Drive-by descarga se produce cuando un usuario sin saberlo, visita un sitio web infectado y luego malware es descargado e instalado sin el conocimiento del usuario.

ransomware Crypto, una variante de malware que cifra los archivos, se propaga a través de métodos similares y también se ha extendido a través de medios sociales, como las aplicaciones de mensajería instantánea basada en Web. Además, se han observado nuevos métodos de infección ransomware. Por ejemplo, los servidores web vulnerables han sido explotados como punto de entrada para acceder a la red de una organización.

¿Por qué es tan eficaz?


Los autores de ransomware infunden miedo y el pánico en sus víctimas, haciendo que se haga clic en un enlace o pagar un rescate, y los sistemas de los usuarios se pueden infectar con malware adicional. Ransomware muestra mensajes intimidatorios similares a los de abajo:

"El ordenador ha sido infectado con un virus. Haga clic aquí para resolver el problema ".

"El ordenador se utiliza para visitar sitios web con contenido ilegal. Para desbloquear el equipo, deberá pagar una multa de $ 100 ".

"Todos los archivos de su equipo han sido cifrados. Debe pagar este rescate dentro de las 72 horas para recuperar el acceso a sus datos ".

PROLIFERACIÓN DE VARIANTES

En 2012, Symantec, utilizando datos de un servidor de comando y control (C2) de 5.700 computadoras comprometidas en un día, estima que aproximadamente el 2,9 por ciento de aquellos usuarios comprometidos pagó el rescate. Con un rescate promedio de $ 200, esto significaba actores maliciosos se beneficiaron $ 33.600 por día, o $ 394.400 por mes, a partir de un único servidor C2. Estos cálculos aproximados demuestran cómo ransomware rentable puede ser por agentes maliciosos.
Este éxito financiero es probable que haya dado lugar a una proliferación de variantes ransomware. En 2013, se introdujeron variantes más destructivas y ransomware lucrativos, incluyendo Xorist, CryptorBit, y cryptolocker . Algunas variantes cifrar no sólo los archivos en el dispositivo infectado, sino también el contenido de las unidades compartidas o en red. Estas variantes se consideran destructivos porque cifrar archivos de los usuarios y de las organizaciones, y los hacen inútiles hasta los delincuentes reciben un rescate.

A principios de 2016, una variante ransomware destructiva, Locky, se observó que infecta los ordenadores pertenecientes a los centros de salud y hospitales en los Estados Unidos, Nueva Zelanda, y Alemania. Se propaga a través de correos electrónicos no deseados que incluyen documentos de Microsoft Office maliciosos o archivos adjuntos comprimidos (por ejemplo, .rar, .zip). Los archivos adjuntos maliciosos contienen macros o archivos JavaScript para descargar archivos ransomware-Locky.

Samas, otra variante de ransomware destructiva, fue utilizada para comprometer las redes de centros de salud en 2016. A diferencia de Locky, Samas propaga a través de los servidores web vulnerables. Después se vio comprometido el servidor Web, archivos subidos ransomware-Samas se utilizaron para infectar las redes de la organización.

Enlaces a otros tipos de malware

Sistemas infectados con ransomware también a menudo se infectan con otros tipos de malware. En el caso de cryptolocker, un usuario típicamente se infecta mediante la apertura de un archivo adjunto de un correo electrónico malicioso. Este archivo adjunto malicioso contiene Upatre, un programa de descarga, que infecta al usuario con GameOver Zeus . GameOver Zeus es una variante del troyano Zeus que roba la información bancaria y también se utiliza para robar otros tipos de datos. Una vez que un sistema está infectado con GameOver Zeus, Upatre también descargará cryptolocker. Por último, cryptolocker cifra los archivos en el sistema infectado, y pide que se pagó un rescate.

Los estrechos vínculos entre ransomware y otros tipos de malware se demostraron a través de la última operación de interrupción botnet contra GameOver Zeus, que también resultó eficaz contra cryptolocker. En junio de 2014, una operación policial internacional se debilitó con éxito la infraestructura de ambos GameOver Zeus y cryptolocker.


Impacto

Ransomware no sólo se dirige a los usuarios domésticos; Las empresas también pueden infectarse con ransomware, lo que lleva a consecuencias negativas, incluyendo
pérdida temporal o permanente de información confidencial o propietaria,
interrupción de las operaciones regulares,
incurre en pérdidas financieras para restaurar sistemas y ficheros, y
potencial daño a la reputación de una organización.
Pagar el rescate no garantiza los archivos cifrados se dará a conocer; Lo único que garantiza que los actores maliciosos reciben dinero de la víctima, y ​​en algunos casos, su información bancaria. Además, desencriptar archivos no significa que la infección de malware en sí se ha eliminado.

Solución

  • Las infecciones pueden ser devastadores para un individuo u organización, y la recuperación puede ser un proceso difícil que puede requerir los servicios de un especialista en recuperación de datos de confianza.
  • US-CERT recomienda a los usuarios y administradores toman las siguientes medidas preventivas para proteger sus redes informáticas de la infección ransomware:
  • Emplear una copia de seguridad de datos y plan de recuperación de toda la información crítica. Realizar copias de seguridad periódicas y probar para limitar el impacto de la pérdida de datos o sistema y para acelerar el proceso de recuperación. Idealmente, estos datos se debe mantener en un dispositivo independiente, y las copias de seguridad se debe almacenar fuera de línea.
  • Utilizar listas blancas de aplicaciones para ayudar a evitar que el software malicioso y los programas no aprobados se ejecuten. listas blancas de aplicaciones es una de las mejores estrategias de seguridad, ya que sólo permite especificar los programas a ejecutar, mientras que el bloqueo de todos los demás, incluyendo el software malicioso.
  • Mantenga su sistema operativo y el software de puesta al día con los últimos parches. aplicaciones y sistemas operativos vulnerables son el blanco de la mayoría de los ataques. Asegurar estos están parcheadas con las últimas actualizaciones reduce en gran medida el número de puntos de acceso disponibles explotables a un atacante.
  • Mantener el software anti-virus actualizados, y escanear todo el software descargado de Internet antes de ejecutar.
  • Restringir la capacidad de los usuarios (permisos) para instalar y ejecutar aplicaciones de software no deseados, y aplicar el principio de "privilegio mínimo" a todos los sistemas y servicios. La restricción de estos privilegios puede evitar que el malware se ejecute o limitar su capacidad para propagarse a través de la red.
  • Evitar que permite las macros de los archivos adjuntos. Si un usuario abre el archivo adjunto y permite macros, código incrustado ejecutará el malware en la máquina. Para las empresas u organizaciones, puede ser mejor para bloquear mensajes de correo electrónico con archivos adjuntos de fuentes sospechosas. Para obtener información sobre el manejo seguro de los archivos adjuntos de correo electrónico, consulte reconocer y evitar estafas de correo electrónico . Siga las prácticas de seguridad al navegar por la web. Ver buenos hábitos de seguridad y la salvaguardia de sus datos para obtener detalles adicionales.
  • No siga enlaces web no solicitados en los correos electrónicos. 
Con la tecnología de Blogger.