Nuevo malware de extorsión es detenido por Check Point

Publicado el 16 diciembre 2013 por Cosmoduende @cosmoduende

El ransomware cryptolocker, es un tipo de malware que al instalarse en su pc, limita o bloquea la información que tenga en ella encriptándola, luego le llega un mensaje de los criminales pidiendo una recompensa por “liberar” su información y equipo. En los peores casos que ha habido, ni después de pagar los criminales entregan la clave para desencriptar la información.

En los primeros días de la infección Cryptolocker, Check Point Software Technologies detectó y detuvo este malware en más de 50 organizaciones ahorrándoles hasta $500 000 dólares en cargos de rescate. Cryptolocker es una cadena de malware conocida como ‘ransomware’ y fue identificada a principios de septiembre de 2013. Como otras formas de ransomware Cryptolocker se instala en la computadora de la víctima y se ejecuta en segundo plano sin que el usuario final se de cuenta cifrando varios archivos de datos del usuario.

Cryptolocker es una amenaza emergente con muchas infecciones en las últimas semanas. Esta amenaza ataca a usuarios individuales y a organizaciones con gran presencia de infecciones detectadas principalmente en los Estados Unidos y en el Reino Unido. Al completar la fase de cifrado, Cryptolocker muestra un aviso que informa al usuario que sus archivos ‘son rehenes’ y exige el pago de un rescate a los criminales con el fin de recibir las claves de cifrado que le permitirán descifrar los archivos. Generalmente el rescate oscila alrededor de $300 dólares con un aumento a diez bitcoins (Alrededor de $3800 dólares) si el usuario no cancela el rescate inmediatamente. La descripción estipula que si el usuario no cumple con esta solicitud dentro del plazo de pago (A menudo menos de cuatro días) la clave privada necesaria para descifrar los archivos serán borrados de sus servidores y la víctima no podrá recuperar sus datos.

Una característica importante de Cryptolocker es que el malware necesita hallar e iniciar comunicación con un servidor de comando y control (C&C) antes de que pueda empezar el proceso de cifrar los archivos. Una vez que la conexión con el servidor de C&C se ha establecido, el servidor genera una clave pública única que envía al agente para que cifre los datos de la computadora de la víctima.

El equipo de investigación de malware de Check Point pudo predecir los URLs blanco para los servidores C&C que los agentes Cryptolocker intentarían contactar y luego crearon ‘firmas inteligentes’ para los motores Check Point Antibot y Antivirus. Actualizado dinámicamente para todos los usuarios ThreatCloud, esta protección en efecto bloquea las comunicaciones a los servidores C&C de Cryptolocker y previene que el proceso de cifrado malicioso comience.

Los clientes que habilitaron los blades antibot y antivirus en sus gateways Check Point reciben automáticamente detecciones actualizadas de Cryptolocker mediante ThreatCloud. Check Point recomienda que los clientes activen la modalidad Prevención para antibot y antivirus en su gateway de políticas de prevención de amenazas.

Check Point detectó que varios países fueron afectados por este malware como Estados Unidos, Reino Unido, Filipinas y varios países latinoamericanos como Perú, Ecuador, Colombia, México, Venezuela, Brasil y Bolivia.

“Los criminales cibernéticos lanzan constantemente ataques nuevos distribuyendo miles de nuevas variantes de malware todos los días” afirmó Ricardo Panez, director regional para México, Centroamérica y el Caribe de Check Point Software Technologies.

Algunas de las formas de evitar este tipo de malware es mantener su software de seguridad como el antivirus y el firewall actualizados y analizando constantefuncionando correctamente, también debemos educarnos a reconocer mails y enlaces sospechosos, también es importante saber que muchas veces este tipo de software se hace pasar por antivirus.