La plaga del ransomware

En las últimas semanas todas las empresas que tenemos alguna relación con la seguridad informática estamos viendo un incremento preocupante en lo que a casos de ransomware se refiere. Especialmente problemático está siendo el conocido como ransomware policial, que utiliza el nombre de diferentes cuerpos policiales de varios países para amenazar al usuario y hacer que pague una multa por varios delitos de pornografía y pedofilia supuestamente cometidos desde su ordenador.

Esto no es nuevo, puesto que ya el verano pasado estuvimos comentando los primeros casos que vimos en territorio español. No obstante, los cibercriminales que están detrás de este malware no se quedan de brazos cruzados y están haciendo evolucionar constantemente su creación.

La técnica usada para asustar al usuario no ha variado apenas, pero sí lo ha hecho la manera de infectar el sistema y los métodos usados para hacer persistente esta amenaza. Uno de los referentes en el seguimiento de la evolución de este malware es el blog Una al día de Hispasec, donde se analizan las nuevas variantes que llegan constantemente a su servicio Virustotal y se ofrecen soluciones manuales para eliminar la infección.

El éxito que está teniendo esta nueva amenaza es considerable, y varias son sus claves. Lo primero que hay que destacar es que se “personaliza” dependiendo del país donde se encuentra el usuario. Así pues, en España vemos cómo suplanta a la Policía Nacional, pero en otros países hace lo mismo con las autoridades locales, tal y como se observa en un post del blog de F-Secure donde se suplanta a la policía Finlandesa.

Seguidamente, el miedo que infunde a los usuarios la posibilidad de verse amenazados por una autoridad (especialmente si el ordenador infectado está dentro de una empresa), además de no permitir el acceso al sistema hace que muchos usuarios decidan pagar el “rescate”. Por último las constantes variaciones que sufre el malware (las ultimas variantes aprovechan vulnerabilidades muy recientes en Java para propagarse) hace que la detección sea difícil si no se tiene el sistema y las soluciones de seguridad actualizados.

No obstante, este no es el único caso de ransomware (aunque sí el que más repercusión mediática está teniendo) que hemos visto en los últimos meses. En nuestros laboratorios hemos analizado muchos más y parece que el número irá en aumento, puesto que, para los ciberdelincuentes que preparan estas amenazas, es una manera rápida de conseguir dinero fácil de usuarios asustados.

Aunque sea un tema de actualidad, este tipo de amenazas no son ni mucho menos novedosas. Hace años que estamos observando varios tipos de malware similares y casi todos tienen en común que son elaborados en Rusia o países de Europa del Este.

Puesto que, una vez infectado un sistema, es relativamente difícil deshacerse de este tipo de amenazas, es vital que los usuarios adopten medidas proactivas de protección. Desde el laboratorio de ESET en Ontinet.com recomendamos mantener nuestro sistema operativo actualizado, incluyendo aquellas aplicaciones cuyas vulnerabilidades están siendo usadas para propagar la amenaza, como Acrobat Reader o Java.

Josep Albors
@JosepAlbors

Continúan las inyecciones de malware en sitios webs legítimos