El secuestro digital
>> jueves, 8 de octubre de 2015
¿Cómo funciona el secuestro digital?
http://www.lanueva.com/ 06/10/2015
Todavía recuerdo hace unos años cuando un amigo me comento que se había bloqueado su notebook y no podía acceder a ella. En la pantalla podía observar un “cartelito” algo extraño que le indicaba que debería pagar la suma de 300 dólares en BitCoins para poder desbloquearla.
Luego, como si de una moda se tratase, comenzaron a llamarnos distintos clientes, algunos con casos como los de nuestro amigo y otros diciéndonos que ya no podían acceder a sus documentos. Al querer abrirlos les aparecía un “cartelito” que indicaba que para acceder a ellos deberían pagar una suma que iba desde 100 hasta 600 dólares. Ese fue nuestro primer acercamiento a lo que hoy se conoce como Ransomware.
¿Qué es?
Tal como lo indica su nombre (Ransom = Rescate), el Ransomware fue diseñado para secuestrar el acceso a los archivos de las computadoras y así poder pedir un rescate. La variante que cifra los archivos también es conocida como CryptoLocker. Generalmente es distribuido a través del envío de mails, páginas web previamente atacadas o a través de troyanos preinstalados en los equipos de las víctimas, afectando principalmente a los sistemas operativos Windows.
Un caso de Ransomware se presenta como un archivo comprimido (generalmente con la extensión ZIP) y al abrirlo la víctima se encuentra con archivos de formatos “supuestamente” PDF. Decimos supuestamente porque en realidad son archivos EXE (ejecutables) a los que se les agrega la extensión PDF aprovechando la funcionalidad preactivada de Windows que oculta las extensiones. Una vez que la víctima ejecuta este falso PDF, comienza todo. Como primera medida el malware se instala (generalmente en la carpeta Mis Documentos) otorgándose un nombre aleatorio, para luego crear una entrada en el registro de Windows y así poder activarse en caso que el equipo se apague.
Una vez concretado lo anterior, intenta conectarse a los servidores donde se aloja su centro de control. En la mayoría de los casos son equipos previamente atacados, a los cuales los atacantes mantienen el acceso sin que sus dueños estén enterados. De esta manera mantienen el anonimato en caso de ser rastreados.
Con clave
Una vez conectados se generan el par de claves “Pública” y “Privada”, utilizando para ello el algoritmo RSA de 2048 bits. La clave pública se usa para cifrar los distintos archivos de la víctima (generalmente los archivos a cifrar son extensiones DOC, PDF, XLS, imágenes, archivos CAD y cualquier otro que se presuponga de importancia para el usuario), mientras que la clave privada quedara en el equipo del cual el atacante posee el control y la misma es la única que podrá descifrar los archivos.
Desde sus inicios el Ransomware tuvo como único objetivo obtener el mayor número de víctimas posibles sin realizar segmentación alguna. Para ello se enviaban campañas de phishing masivas a distintas cuentas de mails (Hotmail, Gmail, Yahoo!, entre otras).
Read more...
http://www.lanueva.com/ 06/10/2015
Todavía recuerdo hace unos años cuando un amigo me comento que se había bloqueado su notebook y no podía acceder a ella. En la pantalla podía observar un “cartelito” algo extraño que le indicaba que debería pagar la suma de 300 dólares en BitCoins para poder desbloquearla.
Luego, como si de una moda se tratase, comenzaron a llamarnos distintos clientes, algunos con casos como los de nuestro amigo y otros diciéndonos que ya no podían acceder a sus documentos. Al querer abrirlos les aparecía un “cartelito” que indicaba que para acceder a ellos deberían pagar una suma que iba desde 100 hasta 600 dólares. Ese fue nuestro primer acercamiento a lo que hoy se conoce como Ransomware.
¿Qué es?
Tal como lo indica su nombre (Ransom = Rescate), el Ransomware fue diseñado para secuestrar el acceso a los archivos de las computadoras y así poder pedir un rescate. La variante que cifra los archivos también es conocida como CryptoLocker. Generalmente es distribuido a través del envío de mails, páginas web previamente atacadas o a través de troyanos preinstalados en los equipos de las víctimas, afectando principalmente a los sistemas operativos Windows.
Un caso de Ransomware se presenta como un archivo comprimido (generalmente con la extensión ZIP) y al abrirlo la víctima se encuentra con archivos de formatos “supuestamente” PDF. Decimos supuestamente porque en realidad son archivos EXE (ejecutables) a los que se les agrega la extensión PDF aprovechando la funcionalidad preactivada de Windows que oculta las extensiones. Una vez que la víctima ejecuta este falso PDF, comienza todo. Como primera medida el malware se instala (generalmente en la carpeta Mis Documentos) otorgándose un nombre aleatorio, para luego crear una entrada en el registro de Windows y así poder activarse en caso que el equipo se apague.
Una vez concretado lo anterior, intenta conectarse a los servidores donde se aloja su centro de control. En la mayoría de los casos son equipos previamente atacados, a los cuales los atacantes mantienen el acceso sin que sus dueños estén enterados. De esta manera mantienen el anonimato en caso de ser rastreados.
Con clave
Una vez conectados se generan el par de claves “Pública” y “Privada”, utilizando para ello el algoritmo RSA de 2048 bits. La clave pública se usa para cifrar los distintos archivos de la víctima (generalmente los archivos a cifrar son extensiones DOC, PDF, XLS, imágenes, archivos CAD y cualquier otro que se presuponga de importancia para el usuario), mientras que la clave privada quedara en el equipo del cual el atacante posee el control y la misma es la única que podrá descifrar los archivos.
Desde sus inicios el Ransomware tuvo como único objetivo obtener el mayor número de víctimas posibles sin realizar segmentación alguna. Para ello se enviaban campañas de phishing masivas a distintas cuentas de mails (Hotmail, Gmail, Yahoo!, entre otras).
Entradas
