Ransomware, actualmente la peor pesadilla en malware para empresas y particulares. La amenaza crece exponencialmente pero existen siete peligrosas familias las cuales son causantes de la mayoría de ataques documentados. Aquí las conoceremos un poco mas.
- LOCKY
La potencia de Locky proviene de su habilidad para cambiar tácticas. Locky utiliza múltiples kits de exploit, incluyendo Angler y Neutrino, también usa macros y archivos de script para cifrar archivos una vez que un usuario abre un documento. Se entrega a través de una descarga en un documento de Microsoft Office (.doc) o JavaScript y se envía a través de un archivo adjunto de correo electrónico en una campaña de phishing. Después de ejecutarse, los archivos cifrados se renombran completamente y Locky muestra la nota de rescate en texto y de mapa de bits, configurando este último como fondo de pantalla de la víctima. Las víctimas reciben instrucciones de pagar en una página web a la que se accede a través de Tor.
- CERBER
Cerber se ha convertido en una de las familias de ransomware más famosas y ampliamente utilizadas a lo largo de 2016. Es especialmente peligroso porque utiliza una amplia variedad de tácticas, incluyendo ataques a plataformas cloud y Windows Scripting, junto con otros comportamientos de ransomware no típicos como ataques DDoS. Cerber ataca a máquinas individuales y se ha descubierto cifrando bases de datos empresariales enteras, haciéndolo especialmente espeluznante para los administradores de seguridad.
- JIGSAW
Jigsaw te perjudica en dos maneras y después trata de hacerte sentir bien. En primer lugar, cifra sus datos, y en segundo lugar roba los datos, por lo que la víctima se enfrenta a una extorsión doble. Entonces para rematar, Jigsaw posee una característica interactiva donde habilita un "chat" que lleva "ayuda" a la víctima indícandole cómo pagar. La idea de que tus archivos están bloqueados y los datos robados es lo suficientemente espeluznante pero si agregas un servicio al cliente de alta calidad estás en una experiencia realmente extraña.
- CRYSIS
Este funciona a través de ataques de fuerza bruta de protocolo de escritorio remoto (RDP). Crysis se distribuye en correos electrónicos de spam, ya sea con archivos adjuntos de troyanos que tienen extensiones de archivos dobles o enlaces a sitios web comprometidos. Fue descubierto a principios de agosto atacando a negocios en Australia y Nueva Zelanda, y ha buscado reemplazar a TeslaCrypt y su rival Locky. Lo que es espeluznante con Crysis es que con el ataque de fuerza bruta, se pueden utilizar varias técnicas de escalamiento de privilegios para obtener acceso de administrador al sistema y buscar a través de más servidores datos para cifrar y pedir rescate por ellos.
- TORRENTLOCKER
Los investigadores han encontrado que los desarrolladores de ransomware se están moviendo más allá de atacar a las personas y ahora están apuntando a las pequeñas empresas. Las PYMES son buenos objetivos ya que no tienen personal de TI y tienen menos probabilidades de ejecutar las mejores prácticas de seguridad y los creadores de este ransomware lo saben ya que la mayoría de sus ataques son dirigidos a este sector. Se propaga a través de spam donde las oleadas de correos son enviados alrededor de las 9 de la mañana en la zona horaria del ataque cuando la gente llega al trabajo, y los mensajes suelen ser falsas ofertas de trabajo o sitios donde puedes aplicar para obtener pasaportes de otras nacionalidades.
- CRYPTMIC
CryptMIC es un ransomware de imitación, que se apoya en el éxito de CryptXXX. Ambas variantes de ransomware son difundidas por el exploit kit Neutrino y usan el mismo formato de subversion ID / botID y el mismo nombre de función de exportación. Lo que es diferente e inquietante es que CryptMIC no genera nuevas extensiones a los archivos que cifra, por lo que es mucho más difícil para los administradores de seguridad para determinar qué archivos han sido secuestrados y como CryptXXX pueden cifrar archivos en unidades extraíbles y en red.
- HDDCRYPTOR
Este ransomware tiene un amplio alcance. No solo esta dirigido para afectar recursos compartidos de red, como unidades, archivos, impresoras y puertos serie a través de Server Message Block, sino que también bloquea la unidad en sí. Esta funcion hace blanco tanto a usuarios de casa como empresas, normalmente se distribuye como un ejecutable descargado de un sitio web malicioso, se instala a través de varios componentes descargados (maliciosos y legítimos) en la carpeta raíz del sistema.
Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com
*Steve Zurier-DarkReading - Oct 16 /Trend Micro