Академический Документы
Профессиональный Документы
Культура Документы
RANSOMWARE
Historia de una molesta amenaza
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
ndice
Introduccin 4
1. Motivos de su xito 5
2. Precedentes
6
5.1 Android
5.2 Mac OS
7. Conclusin 26
2 3
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
1. Motivos de su xito
El xito obtenido por este tipo de malware se puede atribuir a
los siguientes aspectos:
4 5
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
Casino
Suplantacin de Cuerpos y Fuerzas de Seguridad del Estado: se adaptan a cada pas y no tienen por qu
limitarse a solo un cuerpo de seguridad. Por ejemplo, en Espaa se us indistintamente a la Polica Nacional, la
Guardia Civil e incluso a unidades especializadas en delitos telemticos de estos cuerpos como la UIT o el GDT.
Mensaje con los supuestos delitos cometidos: mensaje encargado de convencer a los usuarios infectados de
que haban cometido supuestamente un delito y que, por ello, deberan pagar una multa para no ser llevados a
juicio. A lo largo del tiempo este mensaje ha ido adaptndose.
Identificacin del usuario: para terminar de convencer a la vctima de que estaba siendo investigada por la Po-
lica, se proporcionaban datos de su sistema como su direccin IP y su localizacin. En variantes ms avanzadas
los delincuentes aadieron la grabacin de la vctima usando su cmara web o incluso llegaron a copiar ficheros
con contenido pedfilo en el sistema infectado, a fin de realizar una captura de pantalla para ser mostrada al
usuario e inculparlo.
El virus casino tena una manera peculiar de interactuar con el usuario. Se activaba en ciertas fechas, aunque la
ms frecuente era el 15 de abril. Cuando el usuario de un sistema infectado lo iniciaba ese da, el malware copiaba Mtodo de pago e instrucciones: debido a que el objetivo final de los delincuentes era conseguir que el usua-
la tabla de asignacin de archivos (FAT por sus siglas en ingls) en la memoria RAM y, a continuacin, la elimina- rio abonase una cantidad de dinero utilizando sistemas de difcil rastreo, los delincuentes se encargaban de indi-
ba del disco duro. El usuario vea entonces una pantalla en la que se le ofreca la posibilidad de recuperar la FAT car a la vctima qu medios de pago poda utilizar para pagar el rescate y dnde poda obtenerlos. Adems, estos
del sistema si jugaba a una especie de mquina tragaperras. sistemas cambiaban dependiendo del pas en el que se encontraba la vctima.
Con solo 5 crditos disponibles, si el usuario era afortunado y consegua la combinacin ganadora, el malware Personalidades, organismos y empresas de confianza: en algunas variantes se llegaba a utilizar varios lo-
volva a escribir la tabla de asignacin de archivos en el sistema y recuperaba sus documentos. En cambio, si el gotipos de empresas u organismos ligados al mundo de la seguridad informtica. As pues, no era extrao en-
usuario no tena tanta suerte o reiniciaba su sistema, la FAT se borraba de la RAM y era imposible recuperar el contrarnos con los logos de empresas antivirus, organismos dedicados a la lucha contra el cibercrimen e incluso
contenido del disco. personalidades importantes y jefes de gobierno del pas correspondiente.
6 7
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
3.2 El Virus de la Polica en Espaa En febrero de 2013 la Polica Nacional, en colaboracin con Interpol y Europol, realiz una importante operacin
policial en Mlaga que termin con la detencin de varias personas que formaban parte de uno de los grupos
Pocos meses despus de detectarse los primeros casos en Alemania, en junio de 2011 empezaron a verse casos encargados de difundir este tipo de amenazas. No obstante, tal y como se vio poco despus, ni este grupo era el
similares en otros pases europeos como Francia, Italia y Espaa. nico existente ni esta operacin logr terminar con la propagacin de estas variantes de ransomware.
Algunas de las ltimas variantes que se observaron en activo utilizaban la imagen del S.M. Juan Carlos I. Esta
estrategia se estaba usando en otros pases con sus correspondientes jefes de estado.
Tanto Polica Nacional como Guardia Civil emitieron durante el verano de 2011 sendos comunicados alertando
por primera vez a los usuarios, algo que se repetira en ocasiones posteriores.
A partir de ese momento vemos cmo los ciberdelincuentes adaptan las variantes, que cada vez son ms avan-
zadas. Estas mejoras no se limitan nicamente a actualizaciones grficas, sino que incorporan nuevos mecanis-
mos de defensa para hacer ms difcil su eliminacin.
Los delincuentes no solo hicieron uso del nombre de las Fuerzas y Cuerpos de Seguridad del Estado. Tambin
aprovecharon la popularidad de entidades de gestin de derechos como la SGAE para lanzar campaas de ran-
somware como la que vemos a continuacin.
Como dato curioso, tras la abdicacin de S.M. Juan Carlos I y la llegada al trono de S.M. Felipe VI , los delincuentes
adaptaron esta pantalla de bloqueo reflejando el relevo del monarca.
8 9
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
No solo Europa est en el punto de mira de esta amenaza. Viendo el xito cosechado en varios pases europeos Otra de las regiones que se vio afectada fue Oriente Medio, con pantallas de bloqueo adaptadas perfec-
durante los primeros meses de propagacin, los ciberdelincuentes empezaron a buscar nuevos mercados don- tamente a pases como Emiratos rabes Unidos, Lbano, Palestina o Arabia Saud.
de propagar sus creaciones. Una de las primeras regiones fuera de Europa en sufrir esta nueva oleada de ran-
somware fue Latinoamrica. El primer caso se descubri en Argentina en octubre de 2011.
Como dato curioso, cabe destacar que la cantidad solicitada por los delincuentes variaba entre regiones.
En Europa normalmente se solicitaban 100, mientras que en Estados Unidos esta cantidad era de 100$
y en Latinoamrica la cantidad bajaba a la mitad o incluso menos. Esto demuestra que los delincuentes
El Virus de la Polica tambin lleg a los Estados Unidos. En agosto de 2012 se encontraron las primeras varian- estn al tanto del poder adquisitivo de cada regin y solicitan como rescate cantidades que no supongan
tes en su territorio. Como vemos en la imagen, stas ya incorporaban la grabacin de la vctima usando su pro- un fuerte desembolso a las vctimas.
pia cmara web, algo que las primeras variantes no tenan.
10 11
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
Durante el primer trimestre de 2013 comprobamos como miles de empresas vean sus sistemas infectados por
Esta variante de ransomware inclua avanzados mecanismos tanto de cifrado como de propagacin, se utiliza-
ron sistemas previamente infectados y pertenecientes a una botnet para infectarlos con Cryptoloker. Su xito
hizo que no tardaran en aparecer imitadores y en diciembre de 2013 apareci una supuesta variante conocida
como Cryptolocker 2.0.
En esta variante ya vemos alguno de los puntos que se repetiran en posteriores ocasiones como el uso de un tipo
de cifrado muy difcil de romper utilizando tcnicas de fuerza bruta, o el pago de una cantidad ms elevada con Entre estas dos variantes existen algunas diferencias que podemos ver en la siguiente tabla:
respecto al Virus de la Polica. Si en casos anteriores veamos que con 100 bastaba para volver a tener el control
de nuestro sistema, en estas ocasiones los delincuentes demandaban cantidades que iban desde los 300 o 500
hasta los varios miles de euros.
Hay que destacar que muchas de las vctimas lo fueron porque algunas de estas variantes de ransomware se
aprovechaban de una vulnerabilidad en servidores Windows 2003 que no estaba parcheada en los sistemas in-
fectados, algo que facilitaba mucho la tarea a los atacantes.
12 13
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
Fueron muchos los que cayeron en la trampa y pulsaron sobre el enlace proporcionado en el correo para, segui-
damente, descargarse el fichero y ejecutarlo. Con esa sencilla accin, los delincuentes consiguieron infectar a
miles de usuarios.
Torrentlocker demostr una vez ms que si se usa bien la ingeniera social para engaar a la vctima, no hace
falta que el malware sea especialmente elaborado.
Visto el xito cosechado por los creadores de este tipo de malware durante los ltimos aos, no es de extraar
que sigan apareciendo nuevas variantes e incluso que estas incorporen innovaciones. Es el caso de VirLock. Ac-
ta como un virus parasitario, ya que infecta los archivos existentes en los equipos. Adems, es polimrfico, lo
que lo convierte en un tipo de malware muy interesante para analizar. Es la primera vez que observamos una
combinacin de funcionalidades maliciosas de este tipo.
4.3 Torrentlocker
Sin duda, la variante de ransomware que ms dio de que hablar en 2014 fue Torrentlocker. Este ransomware fue
descubierto en febrero de 2014, aunque no fue hasta el mes de agosto cuando se empezaron a observar campa-
as de propagacin masiva de la amenaza.
Torrentlocker solo acta en ciertos pases y normalmente suplanta la identidad de algn organismo o empresa,
como el servicio nacional de correos. La primera campaa de este tipo fue detectada en agosto de 2014 por inves-
tigadores de iSight Partners y suplantaba al servicio postal de Australia.
Poco tiempo despus, a principios de septiembre, investigadores de ESET descubrieron que el servicio postal
britnico Royal Mail era suplantado por los delincuentes para ganarse la confianza de los usuarios y hacer que
se descargasen la amenaza.
Pero no fue hasta principios de diciembre cuando Torrentlocker hizo su aparicin en Espaa. Durante la tarde
del mircoles 3 de diciembre se enviaron miles de emails en nombre del servicio postal de Correos, en los que se
comunicaba la recepcin de un paquete.
14 15
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
Otra de las variantes que ms propagacin obtuvo durante la primera mitad de 2015 fue CTB-Locker. Esta varian- CryptoFortress es una variante de CryptoLocker / Filecoder. Sus creadores, al igual que muchos otros, reciclaron
te sola distribuirse como fichero adjunto en un correo que simulaba ser una comunicacin por fax. las plantillas que ya estaban creadas de otros ransomware anteriores.
Cuando este ransomware infecta el sistema, cifra archivos con extensiones MP4, PEM, JPG, DOC o DB entre
otras. Posteriormente, se muestra la siguiente imagen en el escritorio de la vctima:
Esta variante tambin utiliza correos electrnicos para distribuirse. Sin embargo, el cdigo fuente del malware,
Una de las peculiaridades de CTB-Locker, y tambin de las variantes que aprovechan el falso email de Correos, es su funcionamiento y la manera de cifrar los archivos son diferentes a otras variantes de ransomware.
que solicita el pago del rescate en bitcoins. Esto hace ms difcil rastrear el dinero obtenido por los delincuentes
aunque tambin supone un impedimento para conseguir ms vctimas puesto que son pocas las empresas afec-
tadas que acostumbradas al uso de esta criptomoneda.
16 17
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
El caso de TeslaCrypt result curioso. Adems de cifrar los ficheros habituales, Teslacrypt tambin buscaba fiche- Al igual que sucediera con el Virus de la Polica, una vez que el ransomware se ha popularizado como mtodo
ros relacionados con videojuegos. De entre los 185 tipos de ficheros que cifraba se encontraban algunos pertene- para obtener dinero rpido por parte de los delincuentes, han aparecido copias que reutilizan el cdigo con m-
cientes a juegos como Call of Duty, Minecraft, StarCraft2, Skyrim, World of Warcraft, League of Legends, World nimos cambios estticos (o ni siquiera eso).
of Tanks o el propio cliente de Steam, entre muchos otros.
Entre los ejemplos ms destacados encontramos Alphacrypt, con un diseo prcticamente idntico a las prime-
ras variantes de Cryptolocker y Los Pollos Hermanos, un ransomware que solo destaca por el homenaje que
hace a la serie Breaking Bad y que solo tuvo repercusin limitada en Australia.
Esta variante demuestra que no hay grupos de usuarios descartables para los delincuentes y que aquellos que
utilizan su sistema para jugar tambin pueden ser un objetivo apetecible. Sin embargo, la popularizacin de las
descargas digitales hizo que muchos de los afectados prefirieran volver a instalar el sistema y todos sus juegos a
pagar el rescate, por lo que esta variante no tuvo especial repercusin.
18 19
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
Una de las ltimas novedades del mercado organizado por los cibercriminales es la creacin de un servicio de El ransomware conocido como Cryptowall fue analizado por primera vez en febrero de 2014, aunque investiga-
ransomware a la carta. Un ejemplo de esto fue Tox, un servicio online en la Deep Web que permita crear nuestra ciones posteriores demostraron que estaba siendo distribuido por lo menos desde noviembre de 2013, pocos me-
propia variante en tres sencillos pasos. ses despus de que Cryptolocker hiciera su aparicin. En las primeras pantallas de bloqueo utilizadas se aprecia
el parecido con Cryptolocker.
El nombre de este ransomware tambin ha sufrido cambios a lo largo de su historia. Comenz siendo conocido
como CryptoClone debido a su similitud con otras variantes. Posteriormente, fue rebautizado como CryptoDe-
fense y finalmente, a mediados de 2014, adopt su denominacin actual: Cryptowall.
Poco tiempo despus, el creador de este portal abandon el proyecto al afirmar sentirse sobrepasado por el xito
obtenido. No es de extraar ya que el creador result ser un adolescente que prefiri retirarse antes de que la Desde su creacin ha sido una de las variantes de ransomware ms extendida por todo el mundo. El FBI inform
cosa fuera a mayores. recientemente de que desde abril de 2014 a junio de 2015, los ciberdelincuentes consiguieron obtener 18 millones
de dlares en los 992 casos reportados nicamente en Estados Unidos.
Uno de sus principales vectores de infeccin fue el envo masivo de correos electrnicos con ficheros maliciosos
adjuntos o enlaces que conducan al usuario a la descarga del malware. An hoy en da esa tcnica sigue tenien-
do mucho xito con nuevas variantes de ransomware.
No obstante, los ciberdelincuentes que se encuentran detrs de estas campaas de propagacin de Cryptowall
se dieron cuenta de que el uso de kits de exploits podra maximizar el nmero de sistemas infectados (el usuario
tan solo debe visitar una web preparada para tal fin o una web legtima comprometida para infectarse, sin nece-
sidad de descargar ni ejecutar ningn fichero) y lo pusieron en prctica.
20 21
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
Durante los ltimos meses se han utilizado diversos kits de exploits. Angler Exploit Kit y Magnitude Kit son 5. Ransomware en otros sistemas
algunos de los utilizados con mayor frecuencia. Adems de infectar a sus vctimas, estos kits pueden ser con-
trolados remotamente, pasando los equipos infectados a formar parte de una botnet.
5.1 Android:
Cifrado y pago del rescate
Si hubiera que destacar algo en particular de la evolucin del ransomware durante los ltimos meses, sera la
Cuando un usuario resulta infectado por Cryptowall resulta prcticamente imposible que no se d cuenta de rpida adaptacin a la plataforma Android.
la infeccin. Nada ms infectarse, se mostrar un mensaje alertando de la misma y avisando al usuario de que
sus ficheros han sido cifrados y que debe seguir una serie de instrucciones para recuperarlos. En realidad, el La estrategia es comprensible, han adaptado su modelo de negocio, ya que los usuarios utilizan ms sus disposi-
cifrado empieza una vez se ha mostrado este mensaje, cuando ya se ha establecido una comunicacin entre tivos mviles que sus ordenadores.
el ordenador de la vctima y el servidor que utiliza el atacante para controlar todos los sistemas infectados.
Si analizamos alguna de las primeras muestras que recibimos en nuestros laboratorios durante el mes de mayo
En esta comunicacin se enva la clave pblica nica para cada caso, utilizada para cifrar los datos. Cryptowall de 2014, observamos como estas ya presentan un avanzado desarrollo e incorporan algunas de las caractersti-
empieza a cifrar la informacin almacenada en el disco pasando por varias unidades, una tras otra, exceptuan- cas del ransomware que ya hemos comentado.
do aquellas que sean unidades de sistemas de almacenamiento pticos como CDs o DVDs. El ransomware
excluye ciertas carpetas para asegurarse de que el sistema sigue funcionando y el usuario puede leer sus men-
sajes.
Tambin se le proporciona a la vctima una serie de enlaces a travs de una pasarela a la red Tor, para as difi-
cultar el rastreo de los delincuentes. La web con instrucciones que aparece en las versiones ms recientes es
similar a la que se muestra a continuacin:
Simplocker fue el primer ejemplo de ransomware en Android. Simplocker. Adems de bloquear el dispositivo,
cifraba su contenido.
En la siguiente imagen podemos observar un caso de ransomware para Android detectado en Ucrania. Vemos
el mensaje (y su traduccin) que apareca en la pantalla de bloqueo y los ficheros del dispositivo cifrados y con la
extensin .enc.
22 23
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
El cambio ms importante en el cifrado fue la inclusin de formatos de ficheros comprimidos como ZIP, 7z y RAR.
El ransomware peda permisos de administrador para ser instalado en el dispositivo, camuflando como aplica-
ciones aparentemente inofensivas y conseguan que el usuario lo instalara sin levantar sospechas. En esta otra muestra estaba la pantalla de bloqueo en esta ocasin estaba en espaol y suplantaba a Europol,
mostrando un mensaje en el que se le acusaba al usuario de haber cometido supuestos delitos as como la nece-
En verano se extendi otro tipo de ransomware para Android (policial sin cifrado de ficheros). Utilizaba los servi- sidad del pago de una multa para no ser llevado a juicio.
cios de publicidad incrustada en algunas pginas web (incluyendo algunos peridicos digitales con millones de
visitas diarias) para propagar nuevas variantes.
En esta ocasin, la cantidad demandada es de 500$ y se vuelve a mostrar todos los sistemas de pago recomenda-
dos por los delincuentes para realizar esta transferencia. Otro dato interesante es que las variantes ms moder-
nas de PornDroid tambin permiten al delincuente gestionar los dispositivos infectados a travs de una botnet.
24 25
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE
En el caso de que el usuario opte por matar el proceso de Safari, la configuracin por defecto del navegador vol-
ver a cargar la web maliciosa, volvindose a repetir el mismo proceso. No obstante, este bucle puede cerrarse si
el usuario opta por restaurar Safari, con lo que desactivar la molesta ventana. Perder datos como el historial
de navegacin o las contraseas almacenadas.
Evitar abrir correos sospechososno solicitados.Tanto si proceden de usuarios conocidos como desco-
nocidos es recomendable asegurarse de que la persona que ha enviado el correo realmente quera remitir
ese fichero adjunto o enlace.
Tener cuidado con absolutamente todos losarchivos adjuntos a un email o descargados desde un en-
lace, especialmente aquellos que vienen comprimidos en formato zip. Incluso los archivos aparentemente
inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un malware, por lo que es
mejor ser precavido.
Habilitar la funcin que ofrecen la mayora de los clientes de correo electrnico dehacer visibles
todas las extensiones de los archivos adjuntos recibidos. El objetivo es saber exactamente qu tipo de ar-
chivo se nos ha enviado.
Disponer como mnimo de doscopias de seguridad actualizadasy cada una de ellas alojada en una
ubicacin diferente a la otra.
Utilizar herramientas especializadas (como Anti Ransom o CryptoPrevent) para recibir alertas en
caso de que un ransomware empiece a cifrar archivos, e incluso para evitar el cifrado de cierto tipo de fi-
cheros en ubicaciones determinadas.
El aspecto ms avanzado de esta variante es que dificulta al usuario el acceso al navegador. Normalmente se
muestra una serie de ventanas con mensajes amenazantes como los que vemos a continuacin, los cuales im-
piden reiniciar Safari.
26 27
ESET / WHITEPAPER 2015 / RANSOMWARE
7. Conclusin
A lo largo de este anlisis hemos visto cmo el ransomware ha pasado de ser algo anecdtico a una seria amena-
za que reporta importantes beneficios a los delincuentes.
El uso de tcnicas cada vez ms innovadoras para asegurar una mayor propagacin y su persistencia, junto a la
utilizacin de algoritmos de cifrados robustos (que hacen prcticamente imposible el descifrado de los ficheros
afectados usando tcnicas de fuerza bruta), demuestra que los delincuentes seguirn apostando por este tipo
de amenazas a corto plazo.
Por parte de los usuarios, la experiencia ha demostrado que la prevencin es la medida de seguridad ms efectiva
contra el ransomware. Contar con copias de seguridad actualizadas, mantener el sistema actualizado y prote-
gido, y no confiar en aplicaciones descargadas de webs no oficiales son las mejores medidas de proteccin para
evitar el secuestro de nuestros datos y la prdida de importante informacin privada.
@eset_es fb.com/Eset.Espana
28