Algún tiempo atrás solíamos llamar a Internet como la “gran autopista de la información”, cuando las conexiones eran lentas y los tableros de anuncios y los gopher eran demasiado técnicos. Esos días son parte del pasado, pero algo de la autopista permaneció, como el mal olor, uno que volvió por nosotros en el 2017… ¡El ladrón de la autopista!
Los villanos que circulan por las rutas comerciales y autopistas del mundo, extorsionando a los viajeros para obtener dinero y valores con una simple amenaza “su dinero o la vida”, reforzando esta amenaza con la marca registrada de una pistola y un sable.
Hoy en día, el ladrón de autopistas es más sofisticado e inteligente. Corre menos riesgos y recurre a las últimas tecnologías amenazando con llevarse sus objetos de valor. En este caso, sus datos, su tecnología y su capacidad informática.
Por supuesto, que ahora estoy hablando de los ransomware, la amenaza que durante los últimos meses ha salido en todas las noticias. La herramienta de elección para el ladrón de la autopista moderna llegó a los titulares de las noticias en todo el mundo con variantes como WannaCry y el más reciente Popcorn Time. En las últimas semanas, las empresas alrededor del mundo fueron infectadas por este ransomware, desde los Servicios de Salud del Reino Unido, al servicio postal ruso.
De manera interesante, WannaCry aprovecha un punto vulnerable conocido del sistema operativo Windows, que supuestamente fue acaparado por una agencia de seguridad nacional de los Estados Unidos. En este caso se utilizó una vulnerabilidad que permitió que el ransomware tuviera éxito tanto en la versión nueva como en las versiones anteriores de Windows, como XP y Windows 7, utilizando una debilidad en la funcionalidad de red incorporada de la pequeña y mediana empresa. Incluso sin soporte, aún existen organizaciones que utilizan Windows XP y se ponen en riesgo.
Afortunadamente, un investigador de seguridad encontró un interruptor de apagado escrito en algunas variantes de WannaCry, en la forma de un dominio “llamadas a casa” que no fue registrado por el autor del malware. Cuando se registraba este dominio se le daba a estas variantes del malware el buzón muerto que estaba buscando para cerrarlo, deteniendo de esta manera el ataque.
Luego de un detenido análisis de las tácticas de WannaCry por la comunidad de seguridad, ahora sabemos que la infección se propagó aprovechando las conexiones de la pequeña y mediana empresa. Y, si bien emparchar la vulnerabilidad conocida (como el parche llevaba más de un mes sin usar) colabora con la capacidad de propagación del sqelch de WannaCry, existe una amplia variedad de fuentes de ransomware a través de las cuales es posible ser infectado, como por ejemplo:
- Troyanos: Quizás el más común y la fuente de ataque de ransomware más leída. Los archivos adjuntos del correo electrónico que contienen adjuntos de macros maliciosos son el método elegido aquí.
- Dispositivos extraíbles: la fuente de ransomware más probable de infección para la mayoría del malware en una empresa, ya sea ransomware o algo más infame. Especialmente para aquellas empresas que no bloquean sus puertos USB. Los medios extraíbles y los dispositivos USB son una forma muy sencilla de infectar una PC ya que los usuarios generalmente confían en esos dispositivos. Un estudio por Google y dos universidades de Estados Unidos demostraron que colocar una memoria USB en lugares públicos era una forma simple y efectiva de despertar la curiosidad humana, con el 49% de los “USB de cebo” que fueron conectados en una computadora por las personas que los encontraron. ¿Imagine si hubieran sido maliciosos?
- Malvertising ¿Malver qué? El acrónimo de “malware” (software malicioso) y “advertising” (publicidad), es decir publicidad maliciosa. Donde los atacantes ponen en peligro la débil infraestructura de una red publicitaria en línea que hace anuncios para sitios web legítimos. Por lo tanto, cuando los usuarios ven estas publicidades que generalmente se encuentran en sitios webs de noticias muy conocidos, que se pueden usar para engañar a los navegadores para que descarguen malware a través de los anuncios. Los kits de explotación como Angler y Neutrino se utilizan frecuentemente como el dropper inicial del malware, que luego les permite a los criminales un control completo del extremo infectado. El ransomware solo es uno de los resultados comunes de estos ataques de watering-hole o drive-by.
- Redes sociales y SMS: La prevalencia de los enlaces abreviados usados en las plataformas de redes sociales y en los mensajes de texto SMS les otorga a los atacantes un mecanismo superior para entregar ransomware y malware. Los usuarios raramente, si es que algunas vez, verifican el destino de los enlaces abreviados en las redes sociales, SMS o incluso en los correos electrónicos, y los atacantes lo saben. Las soluciones de seguridad que siguen un enlace están aumentando su popularidad, pero no lo suficientemente rápido. El ransomware entregado a través de enlaces abreviados; a menudo se basa en JavaScript y requiere poca acción por parte de los usuarios, aparte de hacer clic en el enlace.
- Ransomware como servicio ¿RaaS? Sí, existe, como una de las tantas redes “Crimen como servicio”. (Sí, esas existen también). Los RaaS también permiten que los criminales de cualquier clase se conviertan en cibercriminales instantáneos, al punto que se observaba un descenso en el crimen clásico como robo, y como RaaS es una fuente de ransomware menos riesgosa para ellos. RaaS y CraaS han dado lugar a vastas redes de afiliación, donde el ransomware es fácil de implementar y administrar para casi cualquier persona, y donde el potencial de ingresos es significativo. Utilizo este ejemplo para demostrar la sofisticación y motivación de los cibercriminales detrás del ransomware. Ignórelos por su cuenta y riesgo.
Por supuesto, estamos acostumbrados a pensar en el ransomware como un ataque específico a través del correo electrónico o basado en un virus troyano, y ciertamente ese es el camino más común que toma, pero debemos saber que una vez que el ransomware se abre camino en su negocio, sus creadores intentaran tomar la mayor cantidad de rutas posibles para garantizar que se extienda una infección como sea posible.
Estos ataques y la amplitud de las fuentes ransomware nos demuestran que se trata de un entorno vivo y hostil en la autopista de la información y que, por todo el bien que hacemos, todavía hay gente que intenta explotar, robar, violar y saquear nuestros activos. No se ilusione con que tampoco están motivados; el ransomware es una gran fuente de ingresos para ellos, así que no espere que los ataques se acaben pronto. No hacer lo mejor posible a nivel tecnológico tampoco es una opción. Sentarse a esperar que el Windows XP o 7 luche por un poco más de tiempo o que esos parches que no se implementaron no importan no es una buena estrategia. Recuerde que hay libros escritos sobre que la esperanza no es una estrategia, por eso no caiga en la trampa.
Emparche sus cosas, realice el backup de sus valores y vigile atento a los ladrones de la autopista.
Manténgase seguro ahí afuera.
¿Qué puede hacer con Veeam para mantenerse sólido contra el ransomware? Consulte el contenido de nuestras series ransomware.