Es un malware que tiene como objetivo “secuestrar” los datos de su víctima y pedir a cambio una recompensa por ellos.

En el mundo, se conocen muchos ciberataques que utilizan este medio para manipular a los usuarios y normalmente el pago de la liberación de los datos o hasta del equipo, es por medio de bitcoins y, por si esto fuera poco, los cibercriminales, dan un periodo de tiempo en el cual, el afectado debe de pagar o la información será eliminada y no habrá forma de volverlos a recuperar.

Los primeros casos fueron denunciados en Rusia y se ha extendido de manera rápida y no ha sido fácil de erradicar, pues evoluciona en cada ataque y son múltiples las variantes que se manifiestan en cada víctima.

Dentro de los ataques más populares, se enlistan los que se consideran como los más peligrosos:

  1. Cryptolocker

El CryptoLocker utiliza técnicas de ingeniería social, para conseguir que sea el propio usuario quien lo ejecute. Concretamente la victima recibe un correo, simulando provenir de una empresa de logística, que lleva adjunto un ZIP con contraseña.

Cuando el usuario abre el zip introduciendo la contraseña que le viene en el email, cree que dentro hay un fichero PDF y al abrir el falso PDF es cuando ejecuta el troyano. CryptoLocker se aprovecha de la política de Windows de ocultar las extensiones por defecto, de tal forma que el usuario es engañado “gracias” a esta característica de Windows.

  1. TeslaCrypt

El troyano se caracteriza por infectar a los jugadores de computadora. La mayoría de las infecciones de TeslaCrypt se ha producido en Estados Unidos, Alemania y España, seguidos por Italia, Francia y el Reino Unido.

TeslaCrypt cifra los archivos y exige un rescate (USD 500). Entre otros tipos de archivo objetivo, intenta infectar archivos de juegos típicos: juegos guardados, perfiles de usuario, partidas grabadas, entre otros.

  1. SimpleLocker

SimpleLocker es un troyano para dispositivos móviles que cifra ficheros de la tarjeta SD de los dispositivos afectados.

Este malware, una vez infecta el dispositivo Android, escanea la tarjeta SD para cierto tipo de ficheros, los cifra, y muestra por pantalla un mensaje donde pide un rescate para poder descifrar los ficheros.

  1. Cerber

Por lo que se conoce, el malware Cerber permite a otros ciber criminales acceder a su conexión afiliada y permitirles distribuir este virus cada vez que quieran. Los desarrolladores originales de Cerber obtienen parte del beneficio y permiten a los afiliados quedarse el resto. Hay que tener el debido cuidado, ya que los cibercriminales usan principalmente este virus a través de email de spam, por lo que es mejor tratar de no abrir ningún correo sospechoso que provenga de remitentes desconocidos.

  1. SamSam

Expertos en seguridad indican que el funcionamiento es más o menos similar al de otras amenazas. Lo primero que observan los usuarios es que, en el escritorio, aparece un archivo con el nombre 0000-SORRY-FOR-FILES.html. Si se abre utilizando un navegador web, se puede ver como son las instrucciones que hay que seguir para llevar a cabo el descifrado de la información.

Aquí es donde empieza lo que podríamos considerar «nuevo». Para acceder a todo el proceso para realizar el pago y obtener el código de desbloqueo, el usuario debe instalar Tor Browser. La cantidad a abonar es de 0,7 Bitcoin para 1 PC afectado o 3 si se quieres para todos los PCs afectados.

  1. WannaCry

Los expertos han observado que el ransomware WannaCry se comporta como un gusano y usa dos métodos de ataque encontrados en el arsenal filtrado de la Agencia de Seguridad Nacional de EE. UU. (ETERNALBLUE y DOUBLEPULSAR). También han hallado pruebas que asocian el brote de ransomware con el grupo norcoreano Lazarus.

En 2014, los hackers, que utilizan bitcoines en sus operaciones, borraron casi un terabyte de datos de la base de datos de Sony Pictures. También crearon una “puerta trasera” maliciosa en 2015 y estuvieron involucrados en un ciberataque de 81 millones de dólares al Banco central de Bangladés en 2016.

  1. Petya y NotPetya

Este ransomware funciona muy diferente de cualquier otro malware ransomware, debido a que a diferencia de otros tradicionales ransomware, no cifra archivos en un sistema de destino, uno por uno.

En su lugar, NotPetya reinicia las computadoras de las víctimas y cifra la tabla de archivos maestros (MFT) del disco duro, inutilizando el registro de arranque maestro (MBR), restringiendo el acceso al sistema completo, aprovechando la información sobre nombres de archivos, tamaños y ubicación en el disco físico.

NotPetya reemplaza MBR de la computadora con su propio código malicioso que muestra la nota de rescate y deja los equipos incapaces de arrancar. Esta familia de ransomware utiliza un algoritmo de cifrado fuerte.

  1. Bad Rabbit

Las compañías especializadas en soluciones de ciberseguridad, destacan que el ataque se propaga a través de una actualización falsa de Adobe Flash. Además, procede de la misma forma que ya hicieran sus anteriores Petya o WannaCry, de tal manera que una pantalla en forma de mensaje se encarga de advertir al usuario de que su ordenador está infectado y que debe pagar un montante de 281 dólares (0,05 bitcoins) para que el equipo cifrado pueda ser recuperado. Un contador de tiempo hacia atrás informa de que una vez transcurrido ese período, el precio del rescate se incrementará.

  1. Ryuk

A diferencia del ransomware común, distribuido a través de campañas masivas de spam, Ryuk se utiliza exclusivamente para ataques dirigidos. De hecho, su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo infecta recursos cruciales de cada red objetivo y su distribución es llevada a cabo manualmente por los atacantes.

Esto significa que se requiere un mapeo extenso de redes, piratería y recolección de credenciales antes de cada operación. Su supuesta atribución a Lazarus Group puede implicar que los atacantes ya tienen mucha experiencia en este tipo de operaciones, como demostraron en el ciberataque a Sony Pictures en 2014.

  1. GandCrab

GandCrab 5.0.4 es un ransomware que fue visto por primera vez a principios de octubre del 2018 y es una variante del infame virus GandCrab. Tras la infiltración, encripta datos usando los algoritmos de encriptación RSA y Salsa 20, añade una extensión aleatoria (por ejemplo, .GHMFJ) a cada archivo personal afectado y coloca una nota de pago. Se sube desde un servidor C2 que está controlado por hackers con el fin de asegurarse de que las víctimas son conscientes de lo que ha ocurrido y de lo que deben hacer a continuación. Para recuperar el acceso a los datos personales, se pide a los usuarios pagar en moneda Bitcoin o Dash, y luego contactar a los hackers a través de la dirección email provista. GandCrab 5.0.4 también modifica el fondo de pantalla del escritorio con uno que parece una breve nota de pago. Esta variante del virus se propaga con la ayuda del exploit kit Fallout, y también usando otros varios métodos de distribución.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *