Ransomware: una amenaza que no cesa

ransompclock
Ya lo decíamos en nuestro último resumen mensual de amenazas: el ransomware ya representa en España una de las principales amenazas a la que se enfrentan los usuarios domésticos y corporativos. Esta amenaza ha causado graves problemas a decenas de miles de usuarios en todo el mundo, pero en las últimas semanas, algunas variantes se están cebando con los usuarios españoles.

El falso email de Correos

Sin duda, la familia de ransomware que más quebraderos de cabeza está dando es la conocida como Filecoder (o Cryptolocker). Su método de propagación es bastante clásico ya que suele utilizar un email suplantando a la empresa de servicio postal Correos. Este email no ha sufrido apenas variaciones desde que aparecieran las primeras variantes allá por diciembre, pero no por ello ha perdido efectividad y aún son muchos los usuarios que caen en la trampa. Veamos un ejemplo reciente de este tipo de correos maliciosos:

ransommayo3

Como siempre sucede en este tipo de casos, se nos proporciona un enlace para que pulsemos y podamos recibir una supuesta carta certificada, con una penalización económica si no la recogemos en un plazo determinado. El enlace suele estar alojado en alguna web comprometida y desde esta se redirige a un servidor controlado por los atacantes, que es el que descarga el malware. También se puede ver en algunas variantes cómo antes de descargar el fichero se pide al usuario que introduzca un código captcha.

Esta amenaza suele venir (aunque no exclusivamente) comprimida en un fichero zip, fichero que el usuario descomprime y ejecuta pensando que está abriendo la supuesta carta certificada. A partir de ese momento es cuando el malware empieza a cifrar los archivos que el usuario tiene en su disco (y en carpetas compartidas o unidades extraíbles conectadas) y, una vez termine, mostrará el mensaje pidiendo el rescate. Se puede ver todo el proceso en el post que escribimos hace unas semanas al respecto.

Esta amenaza ha sido tan grave en España que se ha colocado entre las primeras en el ranking que efectuamos cada mes y, tal y como se puede observar en el siguiente mapa generado por el servicio Virus Radar de ESET, nuestro país es el más afectado con diferencia.

ransommayo2

Para prevenir que más usuarios se vean afectados por esta amenaza, preparamos hace unos días el siguiente vídeo en el que analizamos como se infecta un sistema por esta familia de ransomware:

Otras variantes

Tal y como sucedió anteriormente con el virus de la Policía, muchos delincuentes se han sumado a desarrollar sus propias variantes viendo el éxito que han tenido las descubiertas hasta ahora. Desde principios de año han aparecido nuevas amenazas de este tipo y variantes como CTB-Locker, CryptoFortress o TeslaCrypt ya han sido analizadas en nuestros laboratorios.

No obstante, las nuevas familias de ransomware no dejan de aparecer, y en los últimos días hemos visto cómo han aparecido nuevos casos en varias partes del mundo. Algunos de estos casos como Alphacrypt copian otras familias anteriores, como TeslaCrypt. Otros, en cambio, prefieren darle su toque “personal” y ya hemos visto ransomware con temática de la popular serie Breaking Bad mostrando el logo de la cadena de restaurantes ficticia “Los pollos hermanos”.

ransommayo1

El ¿futuro? del ransomware

Está claro que la propagación de estas amenazas está dando muchos beneficios a los delincuentes que están detrás del ransomware. Y es que las decenas de miles de casos (si no más) que se producen cada mes multiplicado por cantidades que oscilan entre unos pocos cientos a varios miles de euros representa mucho dinero.

Sin embargo, los delincuentes ya están empezando a probar nuevos mecanismos de infección buscando secuestrar no los datos almacenados en nuestros discos duros, sino nuestras webs corporativas y personales. Ya existen amenazas como PClock que se han especializado en este secuestro de webs, y aunque aún representan un número muy pequeño, no dudamos que puede convertirse en una nueva amenaza muy extendida si no se toman las medidas adecuadas.

Tampoco debemos olvidar que los delincuentes también están apuntando a los móviles y saben que son unos objetivos muy interesantes, así que no sería de extrañar que veamos un incremento de estas amenazas en nuestros smartphones y tablets en los próximos meses.

Conclusiones

Como venimos diciendo durante estos meses, la mejor medida de protección contra el ransomware es la prevención, que consiste en aplicar ciertas medidas que ya hemos descrito en posts anteriores y que nunca está de más recordar.

Además, no debemos olvidar que una vez que los archivos quedan cifrados, y salvo en algunos casos muy puntuales, estos quedan inaccesibles, por lo que siempre debemos considerar la importancia de la información que almacenamos y protegerla como es debido.

Josep Albors

Phishing del Banco Sabadell aprovecha la implantación de nuevas medidas de seguridad para intentar engañarnos