Ahora, a inicios de 2017, el Ransomware evoluciona a una nueva faceta que resulta más demandante y peligrosa que la original: el Doxaware.

Antes de continuar, protégete al máximo con la Protección Avanzada de DFNDR.

¡Activa la Protección Avanzada ahora!

Virus del Ransomware evoluciona al Doxaware

Si bien ya sabemos cómo funciona el Ransomware, los últimos ataques resultaron poco efectivos pues la gente y las empresas realizaban respaldos de su información, así que en vez de pagar el rescate, era más conveniente “tronar” el sistema y volver a instalar su respaldo.

Fue gracias a esto que la mecánica cambió a Doxaware, que además de pedir rescate por los datos, si la víctima se niega, el hacker la chantajea con la amenaza de liberar sus datos privados y venderlos en la Dark Web.

Para los usuarios comunes esto puede ser perturbador, pero para las empresas es un duro golpe, pues revelarían datos financieros y secretos industriales que los harían perder, literalmente, millones en cuanto a desarrollo y credibilidad con los clientes.

Si esto se aplicara, digamos, a Coca-Cola, ¿te imaginas que amenazaran con publicar la codiciada fórmula secreta de la Coke?, ¿o la fórmula y composición de un nuevo medicamento?, ¿o las claves de acceso de usuarios VIP de Facebook?

Para protegerte, te recomendamos tener instalado DFNDR en todo momento, además de contar con la Protección Avanzada activa.

Lee también: 6 consejos básicos sobre seguridad móvil.

¿Qué es Ransomware?

El Ransomware no es otra cosa que el secuestro de tu información privada. Los hackers entran a tu computadora y encriptan la información, haciendo que el sistema exija una contraseña para descifrar tus datos y permitirte el acceso a los mismos; justo en ese momento, el hacker te pide una cantidad de dinero a cambio de la contraseña. Si estás pensando pagar dinero por recuperar las fotos del bautizo de tu sobrino, déjame decirte que el alcance de este ataque va mucho más allá.

El ataque de Ransomware más reciente e importante

Hace unos días, el Kansas Heart Hospital fue atacado con Ransomware a cambio de la contraseña para volver a tener acceso a los datos de los pacientes del hospital y demás sistemas digitales. El hospital, en contra de las recomendaciones antes mencionadas del FBI, pagó el rescate, pero los hackers no entregaron la contraseña, sino que pidieron un segundo pago aún mayor, pago que el hospital no hizo.

Este ataque se suma a la lista de los más de 10 centros de salud atacados en los Estados Unidos, todos pertenecientes a la empresa Medstar. Esta tendencia muestra que este tipo de acciones delictivas se estan volviendo una tendencia y que la empresa Medstar tiene graves problemas de seguridad digital.

A pesar de todo, el Dr. Greg Duick, presidente del Kansas Heart Hospital, afirmó en una declaración a la prensa que decidieron pagar el rescate porque la cantidad era muy pequeña, pero ante la idea de un segundo pago por una cantidad mayor decidieron no realizarlo, pues contaban ya con medidas para revertir esta situación. Si esto es verdad, ¿por qué decidieron hacer el primer pago?, ¿sólo porque era una “pequeña cantidad”?

Las especulaciones siguen en el aire, pero la realidad es que absolutamente todos estamos expuestos a un ataque de ransomware, phishing, malware o demás amenazas cibernéticas, por eso debes de seguir ciertas reglas de seguridad como si fueran los 10 mandamientos, además de contar con un sistema de seguridad y antivirus en tus dispositivos móviles, como PSafe Total.

¿Pero cuál es el objetivo de ransomware Locky? Lo que busca esta amenaza es cifrar los archivos de determinado usuario en un dispositivo infectado para luego pedir un rescate, que no implica al dinero tradicional sino a los tan famosos bitcoins.

Lee también: Cinco tips para comprar en línea con seguridad

¿Cómo actúa el ransomware Locky?

El modus operandi de este ataque comienza con un correo electrónico con contenido de diferentes temáticas y adaptado a varios idiomas según la región. En este correo se adjunta un archivo del paquete Microsoft Office, generalmente Word (.doc) o Excel (.xls).

Sin embargo, este documento en realidad tiene como cometido crear un archivo BAT que a su vez crea otro archivo con código VBScript, para luego entre los dos descargar la amenaza principal. Este proceso fue estudiado de cerca por el equipo de investigaciones de ESET e identificado como Win32/Filecoder.Locky.

Esto nos obliga a ser mucho más cuidadosos con los documentos Word que descargamos de los correos electrónicos ya que aunque creemos que estamos trabajando en un programa seguro, cuando hacemos clic en Habilitar contenido, en la barra de advertencia de seguridad amarilla que se muestra en la parte superior de los documentos en edición de Office, en realidad estamos ejecutando el archivo malicioso.

¿Cómo protegerse?

Casos como el de ransomware Locky nos obligan a tomar en cuenta los riesgos que representa habilitar los macros de un documento en Microsoft Office ya que esto significa comprometer los datos y archivos personales o de la empresa para la que trabajamos.

Los ataques ransomware suelen sacar gran provecho de las empresas pequeñas y medianas debido a la poca fortaleza con la que cuentan para hacer frente a los ciberataques respecto a loas grandes corporaciones. Ante ello es necesario educar a los empleados sobre las distintas amenazas, entre ellas el ransomware.

De igual forma es necesario tener algún tipo de antivirus confiable y el sistema operativo actualizado a la última versión para evitar ser vulnerables al ransomware Locky o a cualquier amenaza cibernética.

El problema es que este tipo de ataque llegó a diferentes sitios de noticias y varias personas de diferentes partes del mundo fueron víctimas de este “secuestro cibernético” por medio de una campaña de malvertising, la cual distribuía programas de ransomware a las computadoras de los lectores de sitios como: BBC News, New York Times, MSN Noticias, solo por mencionar algunos.

Lee también: El error ortográfico que descubrió millonario robo de hackers

En total los sitios afectados son muchos más, por lo que juntos crean una base de lectores de 2,500 millones, aproximadamente, resultando un objetivo altamente llamativo para los hackers, ya que si a esto le sumamos la vulnerabilidad de Microsoft Silverlight —que recientemente fue parchada— entre otros agujeros de seguridad, el ataque no solo resultó atractivo, sino relativamente sencillo.

Según información de The Guardian, el objetivo del ataque eran lectores estadounidenses, los cuales fueron infectados por medio de anuncios que dirigían a un sitio web en donde un kits de exploits invadiría su PC para instalar el ransomware y así, pedir rescate en bitcoins para liberar la información del usuario.

Si eres usuario OS X pensarías que te encuentras a salvo de todo peligro; pero debes saber que a inicios del mes de marzo apareció el primer ransomware compatible con OS X.

Es en situaciones como esta, en donde los usuarios han tenido que pagar hasta US$17,000 —equivalente a casi $300,000 pesos— para poder recuperar su información, cuando adblockers, extensiones o software que bloquean publicidad dentro de Internet se convierten en un mal necesario o, simplemente, en la salvación que evitará un secuestro cibernético.

Lamentablemente no todo es tan bueno como suena, recientemente un grupo de expertos de la universidad Stony Brook de Estados Unidos siguió de cerca el funcionamiento de cinco mil páginas web para ver partidos de fútbol gratis y los hallazgos no suenan nada alentadores ya que existen malwares ‘como cancha’

De acuerdo con el estudio uno de cada dos sitios de publicidad presentados a los usuarios de este tipo de portales fue creado específicamente para poder esparcir malware debido a la gran demanda de búsquedas que registra en Google.

Lee también: ¡Cuidado! Supuesto video íntimo de Kate del Castillo con Chapo Guzmán es virus

El modus operandi

Una de las técnicas más comunes para engañar a las personas es el ransomware en el cual de la nada aparece un aviso supuestamente enviado por la policía en la que se le notifica al usuario de una multa a la que se ha hecho acreedor por visitar sitios ilegales.

Otra táctica es obligando a los internautas a descargar un programa en la computadora o una extensión en el navegador ya que de esta manera es posible infectar cualquier sitio web que visiten, de esta manera ya no importa a qué sitio te metas después, todas las páginas estarán infectadas.

Por último, y quizás te suena muy familiar, están las ventanas emergentes que parecen no tener forma de eliminarse, aquí el truco es que justo cuando presionan sobre el ícono de “tache” para cerrar la ventana, se les envía a otra página porque en realidad se trata de un botón falso.

Este tipo de amenazas están optimizadas para navegadores web y también móviles, así que te recomendamos no ingresar a ningún sitio que te pida instalar programas desconocidos, sobre todo si lo haces de una computadora o un Android sin programa o aplicación para detección de amenazas.

En pocas palabras el crimeware hace referencia a un software creado específicamente para robar datos financieros a través de conexiones de internet. Esta palabra no debe ser utilizada para referirse a cualquier tipo de crimen en línea ya que sus características han sido bastante delimitadas en el campo de la ciberseguridad. Sin embargo, la empresa Symantec asegura que en el crimeware se incluyen programas que pueden clasificarse como bots, programas de registro de pulsaciones de teclas, spyware, puertas traseras y caballos de troya.

De acuerdo con el experto en ciberseguridad Pablo Ramos, uno de los directivos de Latinoamérica para ESET, en el 2015 no sólo se observó un crecimiento a nivel mundial en los cibercrímenes sino que además hubo un cambio en su agresividad y tipos de ataque.

Lee también: Israel apunta a ser el nuevo Sillicon Valley de ciberseguridad

La organización IOCTA (Internet Organized Crime Threat Assessment) identificó que uno de los cambios fue la confrontación en la mayoría de los casos. Es decir, la intervención directa del criminal para realizar extorsiones e incluso la implementación de la fuerza para intimidar a empresas de ciberseguridad para que dejaran de intervenir en sus actos delictivos.

El costo de este tipo de ataques se estima en US$ 7.7 millones tan sólo del primer semestre de 2015 en donde usuarios en hogares tradicionales y negocios de pequeñas, medianas y grandes empresas se vieron afectados.

Botnets

Las redes de computadoras zombies, también conocidas como botnets, son consideradas desde hace un par de años los actores más importantes en el terreno del cibercrimen ya que facilitan la compra y venta de servicios, robo de información o campañas de propagación de ransomware. Cientos o miles de computadoras que conforman esta red son utilizadas para el envío de Spam, ataques de denegación de servicios y otras acciones maliciosas.

En 2015 se hablaron de operaciones importantes y peligrosas en América Latina como Python/Liberpy, Bondat, Dorkbot y Remtasu. Otra también muy famosa fue Waski, una campaña que se inició a través de correos electrónicos que llevaban adjunto un documento que infectaba el sistema operativo del dispositivo.

Por este motivo en 2016 se prevé un aumento considerable en el presupuesto de las empresas para el departamento encargado de la seguridad digital ya que se avecinan nuevos desafíos que si no son enfrentados con la suficiente preparación pueden significar pérdidas millonarias para las empresas. Nosotros como usuarios tampoco debemos pasar esta advertencia por alto y debemos extremar precauciones en todas y cada una de las plataformas en donde tenemos presencia.

Muchas personas han sido víctimas sin siquiera saber de qué se trataba y lo calificaban simplemente de estafa. En México por ejemplo entre 2013 y 2014 se popularizó una estafa que utilizaba una imagen –supuestamente oficial– de la Policía Federal. Dicha imagen aparecía en sitios pornográficos confundiendo a los usuarios ya que se desplegaba una notificación que afirmaba que se había identificado la dirección IP de la computadora y se había reconocido que estaba navegando en sitios penados por la ley.

Lee también: ¿Cómo protegerse de los ciberataques de fin de año?

Pero el ataque no termina ahí porque cuando se intentaba cerrar la ventana la computadora dejaba de responder y no había manera de salir de esa página que terminaba su mensaje pidiendo el pago de una multa que podía variar entre los 200 y los 500 salarios mínimos, e incluso cárcel por 2 u 8 años, dependiendo del delito.

Lamentablemente por temor y desinformación, algunas personas sí llegaron a depositar la cantidad de $2,000 pesos mexicanos a la cuenta que se proporcionaba en la página y que sugería como puntos de venta centros de fácil acceso como Oxxo, Comercial Mexicana, OfficeMax, Seven Eleven y Farmacias del ahorro.

Esto es a grandes rasgos el ransomware y puede tomar mil y un formas, del FBI, acusándote de poseer archivos de pornografía infantil, de correo electrónico o simplemente perder el control de tus archivos porque cuando los ataques son más especializados por más que apagues y vuelvas a encender tu computadora no puedes acceder a ellos y ahí es cuando la gente entra en pánico y realiza los pagos que los ciberdelincuentes solicitan.

Los teléfonos inteligentes ya no son un terreno ajeno para los criminales, de ahí la importancia de que ni en la computadora, ni en la tableta, ni en el celular abras links de correos que no conoces ni en sitios que parecen inseguros.

En ocasiones aunque se pague el rescate de la información secuestrada ésta no es devuelta, así que dar el dinero que piden no es garantía de nada; en su lugar te recomendamos hacer un respaldo constante de toda tu información para que si un día alguien llega a amenazarte con eliminarla, puedas restablecer el sistema de tu computadora sin preocupación por archivos perdidos.

Los ataques a empresas incluyeron una mayor explotación de programas de software legítimos, así como malware con firmas digitales válidas para mantener los archivos maliciosos ocultos durante más tiempo.

De acuerdo con datos de cierre de año por parte de la firma Kaspersky Lab, en 2015 más de la mitad de las computadoras se vieron afectadas al menos una vez por un intento de infección con malware, lo cual representa un aumento notable respecto al año pasado (61% frente a 58%).

De igual forma una de cada tres computadoras (29%) en las empresas fue expuesta al menos una vez a un ataque a través de internet por lo cual el funcionamiento de las aplicaciones normales de oficina se vio afectado en promedio tres veces más que los daños que pudieran haber sufrido las personas en sus hogares, escuelas o puntos de conexión públicos.

Lee también: En 2015 se comprobó que Apple no es inmune a los ciberataques

A pesar de que pueda parecer que las más grandes amenenazas llegarán por correo electrónico o a través de algún sitio web, en realidad la transmisión de archivos infectados se dio en gran medida (41%) con memorias USB u otros medios extraíbles con contenido dañino.

Una tendencia interesante es que incluso dentro de la categoría que en este artículo manejamos como “empresarial” los dispositivos móviles forman parte de las estadísticas. En este año se observó un aumento del 7% en la porción de ataques dirigidos a la plataforma Android, lo cual confirma el creciente interés de los cibercriminales en los datos almacenados en los smartphones y tablets de los empleados.

Ransomware en aumento

Uno de los temas más preocupantes para usuarios y empresas fue el secuestro de información que tan sólo en el estudio de Kaspersky se identificó en más de 50 mil máquinas corporativas. Este alto número puede representar un indicio de que los rescates pagados por los archivos o informaciones son en proporción mucho más que los que son pagados en el caso de usuarios normales.

Tampoco es un hecho que deba sorprender mucho pues en el caso de los corporativos perder informaciones valiosas puede tener consecuencias económicas mucho más graves que lo que se pide por el rescate a diferencia de los usuarios que si bien pueden ser datos valiosos, las consecuencias materiales no siempre se comparan con las de una empresa.

Ante esta situación se siguen recomendando los mimos protocolos de seguridad en redes corporativas: capacitar a los empleados, establecer procesos sólidos de seguridad y hacer pleno uso de las nuevas tecnologías y técnicas de seguridad digital ya que cada capa adicional de protección reduce el riesgo de penetración en la red.

De acuerdo con el equipo de Investigación de Kaspersky Lab para América Latina los riesgos no solamente están marcados por los ataques malware sino también por los híbridos. Estos comprenden cuando los mismos empleados de una compañía se convierten en cómplices de los ataques ayudando a esquivar los filtros de seguridad del sistema.

Algunas de las tendencias en 2016 en seguridad digital que podremos esperar el próximo año, según Dimitry Bestuzhev del equipo Kaspersky son las siguientes:

Más ataques malware a dispositivos móviles

El incremento en la penetración de teléfonos inteligentes, la poca educación en materia de seguridad y el aumento de pagos móviles hará que los móviles sean el blanco perfecto de cibercriminales pues a diferencia de las computadoras que en la mayoría de los casos ya vienen con un antivirus, en los smartphones es responsabilidad del dueño agregar este filtro extra de seguridad y no siempre lo hacen.

Estrategias más precisas de Ransomware de forma local

La falta de práctica de no respaldar nuestra información de forma segura hará que más delincuentes dedicados a secuestrar información vía remota puedan completar sus fechorías pues ante la desesperación de tener todo de vuelta, muchos usuarios pagan el rescate de la misma.

Lee también: Ransomware: estadísticas, riesgos y soluciones

Ataques específicos a actores regionales

Una ventaja para los cibercriminales –y desventaja para nosotros– es que los ataques en nuestra región son más económicos de ejecutar, instantáneos y anónimos que en otras partes del mundo. D este modo, corremos el riesgo de convertirnos en un nicho bastante atractivo para el robo de información

Incremento de ataques malware PoS y ATM

De acuerdo con Fabio Assolini de Kaspersky Lab, criminales de la región han adquirido el malware para los puntos de venta de los cibercriminales de Europa Oriental. Muchos de los sistema para recibir pagos utilizados actualmente fueron diseñados en un escenario que excluía la posibilidad de malware.

Esta brecha tecnológica hace que los atacantes tengan ganado el campo por lo menos por los próximos dos años o hasta que puedas implementar sistemas actualizados.

Ataques híbridos a instituciones financieras

El hecho de que los atacantes no tengan que pensar en cómo evadir el sistema de seguridad de una empresa porque un empleado puede ayudar a lograrlo es un tema muy delicado y con el que las más grandes compañías tendrán que lidiar en 2016.

Sin embargo, se esperan nuevos protocolos de seguridad internos que puedan reducir el número de casos de este tipo el próximo año.

La educación digital será crucial para combatir las estadísticas

Las predicciones anteriores no son más que planteamientos basados en estadísticas, pero siempre existe la forma de revertir los peores escenarios si se actúa con tiempo y con una estrategia definida.

Los atacantes detrás de Cryptowall ofrecen a sus víctimas una dirección Bitcoin para pagar los rescates utilizando esta divisa digital difícil de rastrear.

Lee también:  ¿Cómo eliminar adware de tu navegador?

Pero a pesar de los obstáculos para rastrear este tipo de movimientos, uno de los últimos informes de la CTA (Alianza de Ataques Cibernéticos por sus siglas en inglés) revelan que los cibercriminales utilizan 6 carteras de bitcoin distintas como cuentas principales y que los ataques son operados por la misma entidad, aunque aún se desconocen las ubicaciones de los mismos.

Los riesgos de Ransomware

Este tipo de malware generalmente se instala en las computadoras de las personas cuando se abre un archivo adjunto en correos electrónicos o en algo tan simple como dar clic en un enlace dañado al navegar por internet  o revisando redes sociales. A veces ni siquiera tienes que dar clic en algo, simplemente se instala en tu computadora al visitar sitios web con archivos maliciosos.

Las pérdidas en un ataque como este pueden ir desde los US$ 10 hasta US$ 500  tal como sucedió este año en un pueblo del estado de Nueva York, Estados Unidos, en donde un correo electrónico, aparentemente de procedencia gubernamental, se propagó a decenas de computadoras, tratándose en realidad de un agente que bloqueaba el acceso a computadoras municipales.

Para poder utilizarlas de nuevo se tuvo que pagar distintos rescates que oscilaban entre los US$ 300 y US$ 500, aunque de acuerdo con los expertos pagar el rescate no siempre te asegura recuperar el acceso a tu computadora o archivos específicos por lo cual se recomienda buscar alternativas y evitar seguir alimentando el delito.

¿Cómo evitar ser víctima de Ransomware?

Proteger tu computadora y teléfono requiere de tan sólo un poco de tu tiempo y atención para aumentar las medidas de seguridad, en PSafe  Blog te recomendamos las siguientes:

• Actualizar siempre la versión del sistema operativo de tus gadgets, pues éstas contienen parches de seguridad además de “las nuevas funciones” para tu teléfono.
• No descargues archivos adjuntos de correos que provengan de personas o empresas desconocidas.
• Realiza una copia de seguridad de todos tus archivos o respaldalos en la nube. Esto reducirá el riesgo de tener que pagar un rescate por información importante.
• Mantén activado el firewall de tu dispositivo.
• Instala PSafe Total en tu smartphone y en tu computadora Windows, de esta forma tu equipo se someterá a evaluaciones constantes de un sistema electrónico que reforzará tus acciones humanas para identificar primero estas amenazas.