Lo dicen numerosos estudios y consultoras expertas en ciberseguridad: el ransomware va a seguir siendo la gran amenaza que aceche tanto a usuarios como a empresas, especialmente pymes. Se trata de un software malicioso capaz de bloquear un ordenador desde una ubicación remota y encriptar todos los archivos que este contenga.
En 2016 sus efectos fueron devastadores: según un informe de Kaspersky, una de cada cinco empresas en nuestro país sufrió un incidente de seguridad de TI relacionado con el ransomware y una de cada cinco pequeñas empresas no recuperó sus archivos.
El año pasado sus ataques se multiplicaron y lejos de remitir, en 2017 se espera que evolucione y adopte nuevas formas más sofisticadas y complejas, para que sea más difícil de detectar y subsanar. En particular los dispositivos conectados con Internet de las Cosas serán su objetivo favorito, tanto que ya el ransomware especializado en ellos ya se ha bautizado como RoT (Ransomware of Things).
Hoy queremos ofrecerte una lista con los ataques de ransomware más habituales, cómo funcionan y qué consecuencias tienen para los equipos que infectan:
1. Jigsaw
Tipo de ataque: elimina archivos periódicamente para que la necesidad de pagar un rescate cada vez sea mayor.
Cómo funciona: cada hora que transcurre sin que la víctima pague el rescate, se elimina un archivo cifrado del ordenadores o equipo, haciéndolo irrecuperable, se pague o no por ello. Este malware además elimina un extra de 1.000 archivos cada vez que las víctimas reincidan el equipo y se conectan a Windows.
2. Petya
Tipo de ataque: Cifra unidades enteras de archivos.
Cómo funciona: el ransomware Petya cifra la tabla de archivos maestros, que contiene toda la información sobre cómo se asignan los archivos y carpetas en el equipo.
3. Kimcilware
Tipo de ataque: cifra los datos de los servidores web
Cómo funciona: Kimcilware es un RansomWeb porque en lugar de atacar directamente el equipo infecta servidores web a través de vulnerabilidades que encuentra, cifrando las bases de datos y los archivos alojados. De esta manera deja inoperativa la web (por ejemplo, la de empresa) hasta que se pague el rescate.
4. DMA Locker, Locky, Cerber y CryptoFortress
Tipo de ataque: cifran datos en unidades de red, incluso cuando éstas no están almacenadas en una red de acceso local.
Cómo funcionan: todos ellos son ransomware de la misma familia, y lo que hacen es enumerar todas las acciones que se realizan dentro de un protocolo de red abierta SMB (Server Message Block) y cifrarlas. Esto es, desde archivos compartidos, a impresoras y otros dispositivos externos que estén conectados.
5. Maktub
Tipo de ataque: comprime los archivos antes de cifrarlos.
Cómo funcionan: Maktub se distribuye a través de correos spam, con apariencia de archivo adjunto PDF o de editor de texto. Mientras el usuario lo abre, en segundo plano se instala en el equipo, comprimiendo los archivos y cifrándolos. El precio que exige por el rescate suele ser elevado.
6. Ransomware en la nube
Tipo de ataque: elimina o sobreescribe las copias de seguridad en la nube.
Cómo funciona: hace tiempo que el entorno cloud dejó de ser un lugar seguro para almacenar y compartir archivos e información de valor. Las nuevas versiones de ransomware son capaces de atravesar los sistemas de cloud computing y de archivos compartidos que los hacen susceptibles al ataque.
7. SimpleLocker, Linux.Encoder.1 y KeRanger
Tipo de ataque: acceden a dispositivo para bloquearlo parcial y totalmente.
Cómo funcionan: tres formas de llamar al mismo ransomware, especializado cada uno en un sistema operativo distinto. SimpleLocker escanea la tarjeta SD de modelos con Android en busca de determinados tipos de datos para luego cifrarlos y Linux.Encoder.1 y KeRanger bloquean y cifran los datos instalados en equipos con Linux y macOS, respectivamente.
8. Cerber
Tipo de ataque: emplea el altavoz del ordenador para enviar mensajes de audio a la víctima. Afecta especialmente a los usuarios Windows.
Cómo funciona: este ransomware genera un VBScript, titulado “# DECRYPT MY FILES # .vbs”, que permite que el equipo mande mensajes de voz al usuario infectado, pidiéndole el rescate y mandándole amenazas. Está adaptado para trdacudir el mensaje en 12 idiomas.
9. Tox
Tipo de ataque: bloquea y cifra los archivos.
Cómo funciona: es como un “kit de ransomware” para que cada ciberdelincuente diseñe su propia amenaza, personalizada. Estos “packs” se distribuyen en foros de la deep web mediante un sistema de afiliación, ya que cada desarrollador se lleva una comisión por cada infección exitosa. Se distribuye como la mayoría de ransomware, por correo electrónico o descargas fraudulentas y cifra los archivos alojados en el equipo.
Fuente: TicBeat