Español | English
rss facebook linkedin Twitter

Descifrando Ransomware



Días atrás, fuimos testigos de la trama en relación al hospital de Presbyterian Medical Center Hollywood, que era víctima de un ataque de cibercrimen, causando en este ataque la paralización de todos los servicios del hospital por una agresiva infección de malware de ramsonware, dejando cifrados miles de documentos. Este Malware se expandió a través de sus  unidades compartidas dejando la red del hospital completamente inoperativa. Esto derivó en la suspensión de todos los servicios durante 10 días, lo cual provocó que el personal del centro se viera obligado a usar papel y fax en todo lo relacionado con los trámites que tenían que ver con sus pacientes y ocasionando el caos en el desarrollo de la actividad habitual del hospital. Muchos pacientes tuvieron que ser trasladados a clínicas cercanas, desencadenando la confusión y desorden en el funcionamiento del centro.
 
El objetivo de este ataque era obtener un “rescate económico” a cambio del cual, los cibercriminales entregarían las claves de descifrado. Este rescate tenía un precio de  unos 9.000 BTC  (3,9 billones de dólares), sin embargo, el hospital fue capaz de volver a poner operativa la red comprando claves de descifrado por valor de 17.000 $. Por supuesto, las pérdidas generadas en este suceso fueron mucho más elevadas, ya que produjo un impacto directo en la continuidad del negocio.

Los ciberdelincuentes responsables de estas campañas, no han inventado nada nuevo, simplemente se han limitado a unir las piezas ya existentes: Cifrado asimétrico, Herramientas para la distribución de malware,  Criptodivisas (en este caso Bitcoin) y aprovecharse de la dependencia de los sistemas informáticos para la continuidad de los negocios o el desarrollo de la vida diaria gestionando nuestra información.

Las ventajas

Desde el punto de vista del ciberdelincuente, el ramsonware presenta tres ventajas sustanciales respecto a los troyanos bancarios tradicionales. La primera es que,  técnicamente resultan sencillos de programar; este malware no requiere capacidades especiales como ocultación o escalada de privilegios, y además el código responsable del cifrado se limita a llamar a funciones de la API del sistema. Esta relativa simplicidad en su código tiene varias consecuencias en la manera en la que se estructuran estas nuevas amenazas:

  • Variabilidad: en un corto espacio de tiempo han aparecido multitud de familias (Cryptolocker, Cryptowall Teslacrypt, Locky y otros nombres, a cual más original), a diferencia con el malware bancario cuyo desarrollo es lento y la aparición de nuevas variantes se espacia en el tiempo. A pesar de esta variabilidad las muestras presentan un funcionamiento muy similar; Si bien hay peculiaridades locales, como la captura de contactos de correo que realiza Torrentlocker para alimentar nuevas campañas de spam.
  • Economía: Al no requerir los servicios de programadores especializados en inyecciones contra banca online, el desarrollo resulta aún más barato y la inversión en un ciberataque es muy rentable
  • Mejoras: Resulta más fácil introducir parches y mejoras en el código. Por ejemplo, algunas versiones iniciales contenían un fallo en la implementación del cifrado que permitió crear una herramienta para recuperar los documentos. Sin embargo, los desarrolladores corrigieron rápidamente el error pasando a usar AES en modo CBC (cipher-block chaining). Otro detalle que ha cambiado es la proporción del fichero que se cifra, mientras que las variantes antiguas actuaban sobre los dos primeros Mb de cada fichero, las últimas únicamente cifran el primer mega. El archivo queda inservible igualmente y se mejora la rapidez del malware.



Otra gran ventaja del ransomware es que la monetización resulta directa, eliminando completamente la necesidad de intermediarios. De esta forma no se necesita alquilar una compleja infraestructura de muleros, pago de comisiones, etc.  Por supuesto otras molestias como contratar un ATS, evitar a los rippers, invertir tiempo en búsqueda de partners fiables y lidiar con los SFD de las entidades bancarias, todas quedan eliminadas de la ecuación.

Finalmente el ramsomware, permite acortar el tiempo de duración de las campañas. Mientras el malware bancario necesita estar un tiempo medio de 1-2 semanas alojado en la máquina de la víctima hasta que se dan las circunstancias adecuadas para realizar la transacción maliciosa, el ramsomware actúa nada más instalarse y establece un límite de tiempo para pagar. Esto permite a los chantajistas concluir la operación en un plazo relativamente corto de tiempo; de esta forma el retorno de inversión es más inmediato y ayuda a evadir la posible reacción de CERTS y fuerzas de seguridad.

Estos factores reducen en gran medida los costes de los ciberdelitos; si bien en el mundo del crimen on line, las cifras nunca están claras, parece que la inversión para crear y mantener una infraestructura de este tipo es decenas de veces inferior que una botnet de malware bancario. Estas circunstancias han propiciado que el ransomware sea la última (y muy rentable) moda del cibrecrimen. Incluso parece que el grupo detrás del famoso Dridex se ha pasado parcialmente al ransomware. En los foros underground dentro del sistema económico crimeware as a service ya han aparecido servicios que permiten lanzar campañas sin necesidad de contar con una infraestructura propia alquilando la infraestructura a terceros. Además, se ha detectado la colaboración entre grupos criminales: Teslacrypt usan la capa de redirección del angler exploit.

Explorar Nuevos mercados

El próspero negocio que han descubierto estas bandas de delincuentes, ha provocado que comiencen a ensayar nuevas estrategias para ampliar los límites del negocio:
  • Seleccionar mejor las víctimas: el provechoso ataque al Hollywood Presbyterian Medical Center fue un hecho meramente casual, pero pone de manifiesto que la selección de objetivos tiene mucho espacio de crecimiento. A medio plazo puede esperarse que los criminales sean capaces de mejorar sus beneficios desarrollando una metodología que determine el tipo de víctima atacada junto con la importancia de los ficheros cifrados y así poder ajustar automáticamente la cantidad del rescate.
  • Otras plataformas: solo era cuestión de tiempo que los delincuentes exportasen a otras plataformas el modelo de negocio que tanto éxito está dando en Windows. La reciente aparición KeRanger, un ramsonware  que está enfocado contra entornos OS X/ plataformas Android  presentan dos obstáculos importantes para el ransomware limite en gran medida el impacto de los posibles ataques :
  1. El sistema de control de usuarios y permisos de esta plataforma, y el control de los ficheros hace que esté repartido entre los distintos usuarios. Esto provoca que, excepto que el ransomware consiga permisos de root, no pueda cifrar la memoria interna del dispositivo y tenga que limitarse a cifrar los datos almacenados en la tarjeta SD.
  2. Muchos dispositivos cuentan con aplicaciones en segundo plano que sincronizan los datos en la nube (iCloud, Dropbox, etc )
Los desarrolladores de código malicioso han sorteado estas dificultades haciendo que el ransomware use las propias APIs de seguridad del dispositivo para bloquearlo y pedir un rescate económico. Este modus operandi ya lo analizamos hace unos meses

  • Búsqueda de nuevas víctimas en mercados paralelos durante este mes, desde S21sec hemos detectado, en un trabajo de análisis, e investigación el cifrado de algunas páginas web a cuyos dueños, se les exige un rescate económico para descifrar el contenido de su propio site.

Por el momento, los ciberdelincuentes se han limitado a atacar un puñado de webs antiguas con CMSs desactualizados, en lo que parecen ser meras pruebas de concepto para explorar este mercado. Sin embargo, no hay que olvidar que en 2008 y 2012 los ciberciminales demostraron ser capaces de comprometer decenas de miles de webs explotando masivamente sus vulnerabilidades.

Backups y servicios en la nube: soluciones parciales

Una de las medidas por las que se apuesta a la hora de prevenir estas amenazas es realizar backups con alta periodicidad y almacenar los datos en máquinas de acceso controlado, sin embargo, esta solución dista de ser perfecta y presenta varios inconvenientes:
  • Las empresas pequeñas no tienen capacidad para hacer backups diarios
  • Y en el caso de grandes empresas, tratan de recuperar decenas de miles de ficheros, con lo que el tiempo juega un papel importante, ya que el proceso puede demorarse semanas.
  • Otras muchas empresas, optan por tener sus datos en la nube y así tener una  capacidad de control de versiones sirve de manera efectiva para recuperar los ficheros. este amenaza representa un nuevo desafío para los servicios en la nube las herramientas Detección de malware en el servidor son inservibles debido a que una  única infección sólo existe en la máquina del usuario , si bien es posible configurar alertas para detectar el cifrado masivo de ficheros lo cierto es que este es un proceso similar al de las herramientas comerciales, (con la única diferencia de que en ese caso el usuario posee la clave de descifrado) Otra posibilidad existente en buscar los archivos de ayuda con las instrucciones de descifrado es inservible al crearse estos una vez que el proceso de cifrado ha terminado.

Conclusiones

Los delincuentes son los primeros interesados en pagar por simple lógica de negocio para que todo les vaya bien a medio y largo plazo si no pagas lo que estás haciendo es matar a la gallina de los huevos de oro digital.

El éxito de estos ataques demuestra que existen grupos sin conocimientos técnicos de primer nivel, y que puede operar en infraestructuras relativamente sencillas, obteniendo beneficios, los cuales, oscilan entre los cientos a miles de euros por infección, sin necesidad de usar sofisticados exploits contra el navegador, o el cliente de correo. Estas bandas cibercriminales consiguen infecciones sin el empleo de sofisticados exploits, solo con el  uso del correo electrónico y la ingeniería social.

En definitiva, supone una clara mejora en la relación a los tres factores clave del cibercrimen: inversión /riesgo/ beneficio. Son los tres pilares de un lucrativo negocio escalable.

Nuestra dependencia de la tecnología nos hace vulnerables

Ecrime Team


1 comentario:

Curro dijo...

Muy interesante el artículo!
La verdad es que el ransomware es uno de los mayores problemas que estamos viendo los analistas de seguridad.
Quiza os interese este producto: SMiD (https://smidcloud.com)
Es un appliance hardware que cifra los datos antes de subirse a la nube y es resistente a ransomware.
Un saludo


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login