Hablemos de Ransomworm

El ransomware es un tipo de amenaza que cada vez es más apreciada entre los ciberdelincuentes. Lo que más les gusta es que es un gran negocio, y es un gran negocio porque las víctimas pagan. Pagan por recuperar las fotos, los datos, los sistemas secuestrados. Pagan aunque nada ni nadie puede garantizarles que haciéndolo van a recuperar lo perdido. Y lo peor es que muchos pagan acordándose de repente de que nunca hicieron una copia de seguridad de esos datos por los que ahora están dispuestos a pagar.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

Frente a robar datos que luego hay que venderlos en el mercado negro… el ransomware es un negocio fácil.

Como otras amenazas y malware, el ransomware ha evolucionado. El Crypto-ransomware, capaz de cifrar los archivos, se hizo famoso gracias a Cryptolocker a finales de 2013. Y ahora parece que lo que llega es el Ransomworm, un híbrido, una variante que acelerará drásticamente la expansión del ransomware.

Un gusano, o computer worm, es un malware capaz de replicarse a sí mismo y enviarse a todas las máquinas de una red. Si tenemos en cuenta su capacidad de expansión con la cantidad de vulnerabilidades activas que la mayor cantidad de dispositivos, sistemas, aplicaciones y servicios generan, la amenaza está servida, y no es baladí. Sólo hay que recordar nombres como CodeRed, SQL Slammer o Conficker. Los hackers saben cómo explotar las vulnerabilidades para hacer que un malware se expanda.

Ransomworm

Los primeros híbridos, Samsam y zCryptor, se detectaron en 2016 y desde finales de ese año son muchos los expertos de seguridad que se han estado preguntando si 2017 sería el año del ransomworm. Parece que la llegada de Wannacry les está dando la razón.

Mediante este método de expansión propio de los gusanos, después de infectar un equipo, el malware se podrá propagar a otros equipos de la red. Permitirá que una máquina inicial se infecte, pague un rescate y luego espere en otras máquinas sin ser detectada hasta que esté lista para atacar de nuevo. Esto significa que una víctima pueda terminar pagando rescates varias veces a los mismos criminales.

Sobre ZCryptor decir que es un ransomworm que no necesita un email para infectar máquinas. Se aprovecha de los vectores de ataque que fueron creados por otro malware y luego se propaga automáticamente a la red desde la máquina comprometida.

En cuanto a SamSam, se transmite a través de vulnerabilidades sin parchear en servidores, permitiéndole infectar una máquina y luego pasar desapercibida, causando más daño en su red interna.

Por ahora las voces claman por reducir los riesgos manteniendo los sistemas actualizados, aplicar los parches de seguridad, formando a los empleados para que sean capaces de detectar emails de phishing, y manteniendo una sana política de copias de seguridad que permitan recuperar el negocio incluso cuando se haya visto infectado por un ransomworm.