Qué es el ransomware?

Integrantes:

• Qué es el ransomware?

R/

Hace referencia a todo aquel código malicioso que perjudica a una entidad o a una persona mediante el secuestro de información y pidiendo un rescate por liberarla.

• Desde qué año se habla de este tipo de amenaza y cuál ha sido su evolución?

R/

Se dio inicio en el año 1989 con un troyano denominado PC Cyborg, el cual cifraba los archivos de la unidad C dejando el equipo inoperativo.

En 2005 se creó GPCoder, el cual realiza un cifrado de archivos específicos de office, imágenes y archivos comprimidos, dejando un archivo de texto indicando al usuario lo que tenía que hacer para recuperar la información.

En 2010 se creó Winlock, el cual bloquea el equipo y despliega un mensaje pidiendo una cantidad de SMS Premium al usuario para poder desbloquear el equipo.

En 2012 se creó Reveton, el cual bloquea el equipo y despliega una pantalla con un mensaje falso de la policía o hasta del FBI. En el mensaje se indicaba el motivo y los supuestos delitos por los que se había bloqueado el equipo, y la multa que debía pagar para desbloquearlo.

En 2013 se creó CryptoLocker y CryptoWall, se especializa en realizar cifrado asimétrico con clave pública SRA de 2048 bits, se encarga de cifrar ciertos archivos de importancia, imágenes e información del usuario, hace uso de conexiones anónimas a través de tor, es el primero en pedir pago mediante bitcoins.

En 2017 se creó WannaCryptor, se especializa en cifrar archivos usando la combinación de los algoritmos AES-128 y RSA-2048, lo cual hace que sea imposible la recuperación de la información mediante métodos de análisis. Su principal característica es que se puede propagar a través de una vulnerabilidad en el protocolo de archivos compartidos de Windows e infectar equipos en red. Ya ha infectado aprox. 230.000 equipos.

• Qué tipos de ransomware se encuentran actualmente?

RTA// - LockScreen: Se caracteriza por impedir el acceso al equipo mediante una pantalla de bloqueo, que inhabilita todas las funciones del equipo, además pide un rescate para recuperar el equipo.

-      CryptoLockers: Se  caracteriza por hacer uso de algoritmos de cifrado, para bloquear el acceso a los archivos del equipo y pide una cantidad de dinero para desbloquear dichos archivos.

• Cuáles son los vectores de propagación o ataque?

RTA//  

-      Mensajes engañosos en el correo electrónico.

-      Descargas de archivos o sw en sitios indebidos o no seguros o mediante una red insegura.

-      Vulnerabilidades en los equipos.

• ¿Es posible recuperar la información afectada y cuál es el procedimiento?

R/ Dependiendo de la situación, si se cuenta con la clave maestra de esta forma se puede descifrar toda la información, conseguir la clave sin pagar a cibercriminales es lo complejo. En la actualidad existen algoritmos criptográficos en donde es posible descifrar y recuperar la información que ha sido afectada, peor a veces esto es muy difícil si el algoritmo es muy malicioso.

Es de tener en cuenta que las claves son únicas por cada persona y solo funciona en un único equipo.

• ¿A qué riesgos se expone una empresa en caso de ocurrencia de ransomware?

R/ 

1.    Pérdidas financieras (Datos privados de los clientes), patentes o fórmulas de ciertos productos.

2.    Si la empresa consta de servidores en la nube y estos resultan afectados y no se cuenta con planes de continuidad para seguir trabajando fuera de línea.

3.    Daño a la marca (prestigio, solidez, credibilidad de la empresa)

4.    Responsabilidad legal (leyes de protección de datos)

5.    Perdida de información si se paga un rescate para acceder al atacante.

...