Cuando eres víctima de ransomware ¿Pagar o no pagar?

welivesecurity.- Desde que los casos de ransomware comenzaron a proliferar en los últimos años, el FBI ha estado activo no solo en la lucha contra este tipo de ataque, sino también en su prevención. Por eso, resulta sorprendente que un agente haya aconsejado a potenciales víctimas que simplemente paguen el rescate demandado por los ciberdelincuentes, cuando el consejo de los expertos suele ser lo contrario.

Los investigadores de ESET siempre han recomendado no pagar por diversos motivos: el principal es que el pago no garantiza la restitución de los archivos cifrados ni del acceso al sistema; por otro lado, termina motivando la conducta criminal. Sabiendo que la víctima está dispuesta a pagar, los delincuentes pueden aprovecharse para perpetrar más ataques e incluso podrían dejar malware en el equipo.

Pero la semana pasada, durante el Cyber Security Summit 2015 en Boston, un agente del FBI advirtió a compañías que, en casos de infecciones de amenazas como Cryptolocker y Cryptowall, quizás no recuperen su información a menos que paguen el rescate.

Joseph Bonavolonta, Agente Especial Auxiliar a cargo del Programa CYBER y de Contrainteligencia del FBI, dijo: “El ransomware es así de bueno. Para ser honesto, a menudo recomendamos a las personas que simplemente paguen el rescate”.

Ahora bien, ¿por qué dijo esto? A principios de este año, el FBI alertó sobre el crecimiento y el aumento de los casos de ransomware que le eran reportados, nombrando a Cryptolocker y Cryptowall como principales exponentes. En ese entonces, la entidad ofreció su ayuda a empresas e individuos y pidió que se reporten casos para que se pudiera combatir a esta amenaza.

Al parecer, en algunos de los casos tratados el FBI no pudo descifrar o recuperar los archivos bloqueados, ya que los atacantes utilizan algoritmos de cifrado ultraseguros. A la larga, a pesar de los esfuerzos técnicos, según Bonavolonta, “lo más fácil sería pagar el rescate”.

Según su lógica, los cibercriminales detrás de amenazas de tal calibre ganan tanto dinero porque la mayoría de las instituciones se resignan a pagar, y de esta forma, el éxito del ransomware termina “beneficiando” a sus víctimas: como mucha gente paga, los autores del malware son menos proclives a sacar alto rédito de una víctima particular, y eso mantiene bajos los montos solicitados.

El agente incluso se atrevió a decir que los criminales cumplen su palabra y que, por lo tanto, es probable que tras el pago la víctima recupere sus datos. A su manera de verlo, los usuarios deberían creer en la palabra de alguien dispuesto a infectar un equipo y pedir un rescate para liberar su información.

Desde ESET, hemos explicado en diversas ocasiones por qué no recomendamos pagar el rescate, pero ante declaraciones como las de Bonavolonta, no está de más recordar lo explicado por Graham Cluley en nuestro blog:

El pago del rescate no significa que vas a estar fuera de peligro. Los criminales pueden dejar malware en el equipo y ahora saben que eres el tipo de persona dispuesta a pagar dinero para recuperar el acceso al equipo o a los datos. En resumen, podrías volver a ser el objetivo de otro ataque futuro.
Recuerda: no hay forma de evitar que los atacantes te exijan el pago de más dinero. Si pagas el rescate estás ayudando a crear un nuevo mercado para los cibercriminales, lo que puede conducir a más ataques de ransomware y de otros tipos.
En lugar de pagar, aprende la lección: obtén una mejor protección y asegúrate de llevar a cabo un régimen apropiado de creación de copias de seguridad para recuperar tus archivos esenciales en caso de tener la mala suerte de que te ataquen.

En el siguiente video podrás ver un resumen de qué es el ransomware y cómo hacer para protegerte. De esta forma, no tendrás que enfrentar el dilema de pagar o no pagar.

Ultima vulnerabilidad en Flash, infectando de Cryptowall

La urgencia por reparar instalaciones de Adobe Flash Player se intensificó durante el fin de semana cuando se encontraron exploits de una vulnerabilidad de día cero recientemente arreglada en el Magnitude Exploit Kit.

Flash no actualizando, infectando con Cryptowall

El investigador francés Kafeine dijo el domingo que una muestra que se encontró fue dejando caer dos instancias de Cryptowall ransomware contra un equipo con Windows 7 con Internet Explorer 11. Cryptowall es una cepa de ransomware que cifra los archivos en el ordenador de la víctima y exige un rescate, generalmente pagado en Bitcoin . El FBI dijo la semana pasada que los consumidores han reportado pérdidas de más de $18 millones relacionados con Cryptowall infecciones.
Una actualización de emergencia para Flash fue lanzada el 23 de junio que arreglaba una vulnerabilidad explotada en ataques dirigidos por un grupo vinculado a China, dijo que la empresa de seguridad FireEye.

Las vulnerabilidades de Flash son un vector de ataque preferido de los hackers criminales y grupos patrocinados por el gobierno, debido a la ubicuidad del reproductor en máquinas Windows en especial. Estos grupos se están moviendo rápidamente en el desarrollo de exploits para vulnerabilidades parcheadas; Kafeine dijo que le tomó sólo cuatro días para que éste apareciera en magnitude, por ejemplo.Esta vulnerabilidad se debe priorizar, ya que ha sido explotada públicamente por lo menos desde el comienzo de junio y exponen a los usuarios casi tres semanas, dijeron los investigadores de FireEye.

El grupo responsable, apodado APT3 por FireEye, ha utilizado sus exploits para apuntar industrias críticas como la aeroespacial y de defensa, construcción e ingeniería, empresas de alta tecnología, telecomunicaciones y organizaciones de transporte. Los investigadores dijeron que los atacantes están lanzando una amplia red con correos electrónicos de phishing que se parecen más a los mensajes de tipo de spam que solicitan productos de Apple a bajo costo. Un enlace en los puntos de mensajería a sitios web controlados por el grupo APT que contiene el exploit de Flash incluye una puerta trasera conocida como SHOTPUT utilizada para mover datos robados de máquinas infectadas. El grupo, que se cree que es detrás de la operación clandestina Fox del año pasado, principalmente ambiciona la propiedad intelectual.

"Cada vez que uno de estos grupos usa vulnerabilidad día cero y la lanza a una amplia red como este caso, que es bastante importante, sobre todo porque la actividad se inició a principios de junio y no se lanzo parche hasta hace 2 dias,"  dijo el gerente de operaciones de inteligencia de FireEye Mike Oppenheim la semana pasada. "Esa es una gran ventana, y posiblemente miles de víctimas afectadas."

"Para las víctimas que han sido explotados, son rápidos moviedose", dijo Oppenheim. "Si ya has sido explotado, ya están moviendo lateralmente en la red, acaparando credenciales y soltando más puertas traseras."

Ahora que los delincuentes han integrado los exploits en Magnitude, esperan obtener algún beneficio contra las máquinas sin parches infectando con Cryptowall, la familia de ransomware que rápidamente se esta convirtiendo en una de las más prolíficas de su uso.

Hace casi tres semanas, el Instituto SANS advirtió que estaba observando un aumento en el tráfico de Angler Exploit Kit contiene Cryptowall 3.0 ransomware. El mismo grupo, SANS dijo, también podría haber estado detrás de una campaña de spam simultánea empujando la misma versión de Cryptowall. Cryptowall 3.0 encripta los archivos almacenados en un equipo comprometido y exige un rescate, por lo general $500 dolares en Bitcoin, a cambio de la clave de cifrado. El malware utiliza numerosos canales para comunicarse y enviar tráfico robado a sus dueños, incluyendo I2P y las redes de anonimato Tor.

Cryptowall le ha costado a sus víctimas 18 millones de dolares desde 2014, según el FBI

En poco más de un año, los consumidores afectados por el ransomware Cryptowall han informado al FBI más de $ 18 millones en pérdidas relacionadas con las infecciones del malware.

Cryptowall se encuentra entre el grupo de las familias ransomware que encriptan los archivos en los equipos de las víctimas y luego exigen un rescate para obtener la clave de descifrado. Las infecciones suelen comenzar ya sea con un correo electrónico de phishing o cuando la víctima va a un sitio de alojamiento de un exploit kit. Algunas de las infecciones se basan en la explotación de vulnerabilidades en el software en los equipos de los usuarios, pero con la misma frecuencia el malware se entrega cuando un usuario hace clic en un enlace malicioso y descarga el malware.

La familia Cryptowall ha pasado por una serie de iteraciones durante sus más o menos 16 meses de vida. Uno de los cambios clave que los atacantes detrás de este malware han hecho es el uso de Tor para ocultar su infraestructura de comando y control. Otros ransomware, como Critroni, han empleado la misma táctica.
Ransomware normalmente exige que los usuarios paguen un rescate en Bitcoin u otro método de pago electrónico, y el FBI dijo en una alerta emitida el martes que el efecto financiero de las víctimas ha sido amplia.

CryptoWall y sus variantes se han utilizado activamente para atacar víctimas estadounidenses desde abril de 2014. El impacto financiero a las víctimas va más allá de la cuota de rescate en sí, que suele ser de entre $ 200 y $ 10.000," según dice la alerta del Internet Crime Complaint Center del FBI.

"Muchas víctimas incurren en costos adicionales asociados con la mitigación de la red, las contramedidas de la red, la pérdida de productividad, gastos legales, servicios de TI, y / o la compra de los servicios de monitoreo de crédito para los empleados o clientes. Entre abril de 2014 y junio de 2015, el IC3 recibió 992 quejas relacionadas CryptoWall-, con las víctimas que informaron pérdidas por un total de más de $ 18 millones. "

El FBI y otras agencias policiales han tenido un éxito notable en la interrupción de las operaciones de ransomware. El año pasado, las autoridades de varios países ejecutaron un derribo de la operación GameOver Zeus, un evento que también interrumpió la infraestructura CryptoLocker. El GOZ Troya a menudo se utiliza para distribuir CryptoLocker, y el FBI y Europol fueron capaces de acabar con la botnet GOZ en junio de 2014.

Anuncio de Hugo Boss con Trampa distribuye Ransomware Cryptowall

Ataques publicitarios maliciosos (Malvertising) han estado plagando paginas principales y sus visitantes en estos últimos años.

Mientras que algunos son fáciles de detectar y deshacerse de ellos, otros tienden a ser mucho más sofisticados y difícil de averiguar su modo de operación.

El pasado 11 de Abril, los investigadores de MalwareBytes descubrieron un anuncio malicioso que se muestra en huffingtonpost.com, así como otros lugares de interés, como en Zillow.com. Este anuncio se utiliza para entregar el ransomware Cryptowall través de flash.
El anuncio fue cargado por un anunciante de terceros (servedbyadbutler.com) llamado inicialmente por delivery.first-impresión, donde ganó la subasta de licitación en tiempo real por $ 2.31 CPM (coste por mil impresiones).

http://delivery.first-impression.com/delivery?action=serve&ssp_id={sanitized}&ssp_wsid={sanitized}&dssp_id={sanitized}&domain_id={sanitized}&ad_id={sanitized}&margin=0.55&cid={sanitized}&bn=inferno&ip_addr={sanitized}&ua={sanitized}&top_level_id={sanitized}&second_level_id={sanitized}6&page=huffingtonpost.com&retargeted=null&vender_data_used=0&height=250&width=300&idfa=null&android_id=null&android_ad_id=null&bid_price=2.699&count_notify=1&win_price=2.31

La mayoría de los anuncios maliciosos en Flash que estamos acostumbrados a ver redirige a páginas externas, a menudo conduce a un paquete de exploits.

Éste es diferente en que el anuncio en sí (que podría ser para cualquier marca) también se utiliza como el exploit. Esta es la obra del flash EK, que se aprovecha usando el dicho 'dos pájaros de un tiro ".

Ganar la confianza de una agencia de publicidad y empaquetar el ataque en el anuncio, en sí es un poco atrevido y arriesgado. Pero sin embargo lo logró y los malos detrás de él fueron capaces de empujar el ransomware Cryptowall a los visitantes que se estaban ejecutando versiones de Flash Player obsoletas.

La cuenta del usuario que estaba ejecutando esta campaña ya fue suspendida, según confirmaron los dueños de este programa de publicidad.

Como recordatorio, si ustedes deciden utilizar Flash, asegurense de que se encuentra siempre actualizado o aprendan a activarlo bajo demanda siguiendo este articulo:

Cómo asegurarte de que Adobe Flash está actualizado y habilitar click-to-play

Secuestro de tu información: OphionLocker se une a la carrera del ransomware

(cc) 20th Century Fox / Taken

En agosto pasado, se publicaron reportes acerca de una serie de ransomware en los que se incluía SynoLocker y CryptoWall. En la publicación relacionada a Cryptowall, se menciona brevemente la familia más avanzada de ransomware, CTB-Locker, que utiliza un criptograma de curva elíptica para el cifrado de archivos y Tor para la comunicación con el servidor de comando y control.

Esta semana, otro ransomware surgió con la misma criptografía de cifrado. Fue visto por primera vez por Trojan7Malware en una campaña de publicidad maliciosa que utiliza el RIG exploit kit. Ellos llamaron el malware como OphionLocker. Tras la infección, este malware utiliza una URL de Tor2web para dar instrucciones sobre cómo enviar el pago y obtener la herramienta decrpytor y así poder recuperar tu información.

Este ransomware cifra los archivos con las siguientes extensiones.

Y este el mensaje que se mostrará al usuario después del cifrado.

Multiples archivos de texto con el formato ENCRYPTED[..].txt seran creados, los cuales contendrían el ID de hardware generado para la computadora de la víctima.

El ingresar el HWID mostraría el mensaje de rescate por el que se pide 1 BTC.

Sin embargo, si la infección ocurriera en un entorno virtual, OphionLocker tiene un truco ligeramente diferente. A pesar de que todavía te da un HWID, el mensaje que se muestra no pide un pago de un rescate.

Se da el descifrador gratis! Ahora, sabemos que suena demasiado bueno para ser verdad, pero aun asi los investigadores continuaron con las pruebas por si acaso estos criminales fueran nobles con los investigadores de seguridad.

Probando el descifrador se mostraría el siguiente mensaje:

Al hacer clic en "Aceptar", aparecerá inmediatamente otro mensaje:

Pero, por desgracia, ninguno de los archivos pudo ser descifrado. Lo que denota que con este nuevo tipo de amenazas (como en la vida real) nadie puede asegurar el poder recuperar tu información de manera integra. Los programas de Antivirus actuales son capaces de eliminar la infección pero debido a la complejidad del cifrado (RSA 2048-bit), es imposible recuperar los archivos una vez comprometidos. Por lo cual la severidad de dicha amenaza es considerada como CRÍTICA. 

RECOMENDACIONES:

• Correos electrónicos: NO ABRIR CORREOS ELECTRÓNICOS NO SOLICITADOS. No abrir archivos adjuntos que parezcan sospechosos o que su naturaleza no sea para fines de trabajo. 
• Información Crítica: Resguardar la información crítica de manera periódica en los espacios compartidos asignados en servidores de la empresa y así reducir el impacto en caso de una infección.
• Antivirus: Mantener las definiciones de antivirus actualizadas.
• Mensajería Instantánea (MSN, AOL, etc.): Evitar recibir archivos por este medio. También evitar abrir accesos a páginas web (links).

Fuente: f-secure