Ransomware

Un ransomware o programari de segrest^[1] (de l'anglès ransom, ‘rescat’, i ware, per programari) és un tipus de programa informàtic malintencionat que restringeix l'accés a determinades parts o arxius del sistema infectat, i demana un rescat a canvi de llevar aquesta restricció.^[2] Alguns tipus de ransomware xifren els arxius del sistema operatiu inutilitzant el dispositiu i coaccionant a l'usuari a pagar el rescat.

Es van fer populars a Rússia i el seu ús va créixer internacionalment al juny del 2013. L'empresa McAfee va assenyalar que solament en el primer trimestre del 2013 havia detectat més de 250 000 tipus diferents de ransomware.^[3]

Mètodes de propagació modifica

Normalment un ransomware es transmet tant com un troià o com un cuc, infectant el sistema operatiu, per exemple, amb un arxiu descarregat o explotant una vulnerabilitat de programari. En aquest punt, el ransomware s'iniciarà i xifrarà els arxius de l'usuari amb una determinada clau, que només el creador del ransomware coneix i proveirà a l'usuari que la reclami a canvi d'un pagament.

Com actua modifica

Aquest tipus de virus es camufla dins d'un altre arxiu o programa desitjable per a l'usuari que convida a fer click. Alguns exemples d'aquests camuflatges serien:

Arxius adjunts en correus electrònics.
Vídeos de pàgines de dubtós origen.
Actualitzacions de sistemes.
Programes, en principi, fiables com Windows o Adobe Flash.

Després, una vegada que ha penetrat en l'ordinador, el ransomware s'activa i provoca el bloqueig de tot el sistema operatiu, llança el missatge d'advertiment amb l'amenaça i l'import del rescat que s'ha de pagar per recuperar tota la informació. A part d'aixó, a vegades inclouen en l'amenaça l'adreça IP, la companyia proveïdora d'Internet i fins i tot una fotografia captada des de la webcam.^[4]

Hi ha casos on el rescat consisteix en obligar a jugar a un videojoc.^[5]

Tipus de ransomware modifica

Reveton modifica

El 1989 es va començar a disseminar un ransomware anomenat Reveton. Estava basat en el troià Citadel el qual estava al seu torn basat en el troià Zeus, el seu funcionament es basa a desplegar un missatge pertanyent a una agència de la llei, preferentment corresponent al país on resideix la víctima. Per aquest funcionament es va començar a nomenar-se com a "Trojan cop", o "troià de la policia", a causa que al·legava que el computador havia estat utilitzat per a activitats il·lícites, tals com descarregar programari pirata o pornografia infantil. El troià desplega un advertiment informant que el sistema va ser bloquejat per infringir la llei i d'aquesta manera haurà de pagar una fiança per poder alliberar-la, mitjançant el pagament a un compte anònim com pot ser Ukash o Paysafecard.

Amb l'objectiu de fer creure a la víctima que el seu computador està sent rastrejat per la llei, és que es mostra l'adreça IP del computador en la pantalla a més de que es pot desplegar material d'arxiu simulant que la càmera web del computador està filmant a la víctima.

A principis de l'any 2012 va començar la seva expansió per diversos països d'Europa; segons el país podria variar el logo referent a les Forces de la Llei referents a cada país. Per exemple, en el Regne Unit, contenia el logo del Servei de Policia Metropolitana. A causa d'aquests successos, la Policia Metropolitana va enviar un comunicat informant que en cap concepte ells bloquejarien un computador ni tan sols com a part d'una recerca.

Al maig de 2012, Trend Micro va descobrir les variacions d'aquest malware per als Estats Units i Canadà, sospitant que els autors planejaven expandir-ho a Amèrica del Nord. L'agost de 2012, es va començar a utilitzar el logo del FBI per reclamar una fiança de 200 dòlars a pagar mitjançant una targeta de aMoneyPak als propietaris de computadors infectats. Al febrer de 2013, un ciutadà rus va ser arrestat en Dubai per autoritats espanyoles a causa de la seva connexió amb la xarxa criminal que havia estat usant Reveton, a aquest ciutadà se li van sumar altres deu persones amb càrrecs per blanqueig de diners.

L'agost de 2014, Avast va informar de noves variants de Reveton, on es distribuïa programari maliciós amb la finalitat de robar contrasenyes.

CryptoLocker modifica

Al setembre de 2013 va fer la seva reaparició el ransomware basat en el xifrat d'arxius també conegut com a CryptoLocker, el qual genera un parell de claus de 2048-bit del tipus RSA amb les quals es controla el servidor i es xifren arxius d'un tipus d'extensió específica. El virus elimina la clau privada a través del pagament d'un bitcoin o un bo prepagament en efectiu dins dels tres dies després de la infecció. A causa del llarg de la clau utilitzada, es considera que és extremadament difícil reparar la infecció d'un sistema.

En cas que el pagament es retardi més enllà dels tres dies el preu incrementa a 10 bitcoins, la qual cosa equivalia, aproximadament, a 2300 dòlars, al novembre de 2013.

CryptoLocker va ser aïllat gràcies a que van confiscar la xarxa GameoverZeuS, tal qual va ser anunciat oficialment pel Departament de Justícia dels Estats Units el 2 de juny de 2014.

El Departament de Justícia va emetre una acusació en contra del ciberdelinqüent rus Evgeniy Bogachev (Евгений Богачев) al·legant la seva participació en la xarxa GameoverZeuS. S'estima que es van cobrar almenys tres milions de dòlars fins que el malware va ser donat de baixa.

CryptoLocker.F i TorrentLocker modifica

Al setembre de 2014, una ona de ransomware va arribar als seus primers objectius a Austràlia, denominats CryptoWall i CryptoLocker. Les infeccions es propagaven a través d'un compte fals del correu australià la qual enviava un correu electrònic notificant lliuraments fallits de paquets. D'aquesta manera s'evadia la revisió mèdica del correu en els filtres de antispam i aconseguia que arribessin als destinataris. Aquesta variant requeria que els usuaris ingressessin en una pàgina web i, prèvia comprovació mitjançant un codi CAPTCHA, accedissin a la mateixa, abans que el malware fos descarregat, d'aquesta manera es va evitar que processos automàtics puguin escanejar el malware en el correu o als enllaços inserits.

Symantec va determinar l'aparició de noves variants conegudes com a CryptoLocker.F, el qual no tenia cap relació a l'original a causa de les seves diferències en el funcionament. La Corporació Australiana de Broadcasting va ser víctima d'aquests malware, la qual, durant mitja hora, va interrompre el seu programa de notícies ABC News 24 i va haver de traslladar-se als estudis de Melbourne i abandonar les computadores pertanyents a l'estudi de Sydney a causa de CryptoWall.

TorrentLocker és un altre tipus d'infecció amb un defecte, ja que usava el mateix flux de claus per a cadascun dels computadors que infectava, el xifrat pas a ser trivial però abans de descobrir-se ja havien estat 9000 els infectats a Austràlia i 11 700 a Turquia.

CryptoWall modifica

CryptoWall és una varietat de ransomware que va sorgir a principis de 2014 sota el nom de CryptoDefense dirigida als sistemes operatius Microsoft Windows. Es propaga a través del correu electrònic amb suplantació d'identitat, en el qual s'utilitza programari d'explotació com a Fiesta o Magnitud per prendre el control del sistema, xifrar arxius i així demanar el pagament del rescat del computador. El rang de preus es troba entre els 500 $ i 1000 $.

El març de 2014, José Vildoza, un programador argentí, va desenvolupar una eina per recuperar els arxius de les víctimes de manera gratuïta. La recuperació d'arxius va ser possible gràcies a una falla al programa maliciós pel queles claus de xifrat quedaven guardades en l'equip afectat.^[6]^[7]

Quan els autors es van adonar de l'error, van actualitzar el criptovirus nomenant-ho CryptoWall, passant després per diferents actualitzacions fins a arribar a la versió 3.0.

CryptoWall 3.0 ha estat reportat des de gener de 2015 com una infecció que està sorgint on hackers russos es troben darrere d'aquesta extorsió.

TeslaCrypt modifica

TeslaCrypt és un dels ransomware considerats com eliminats, ja que la clau mestra per al desxifrat dels fitxers atacats és pública. Existeix una eina gratuïta de l'empresa ESET que permet realitzar aquest treball.^[8]

Mamba modifica

Un grup d'investigadors de seguretat del Brasil, anomenat Morphus Labs, va descobrir un nou ransomware de xifrat de disc complet (FDE - Full Disk Encryption) aquesta mateixa setmana, anomenat Mamba. Mamba, com ho van cridar, utilitza una estratègia de xifrat a nivell de disc en lloc d'un basat en arxius convencionals. Això pot ser només el començament d'una nova era pels Ransomwares.

"Mamba", és una serp amb un verí paralitzant. Igual que per a les víctimes d'aquest nou ransomware. Per obtenir la clau de desxifrat, és necessari posar-se en contacte amb algú a través de l'adreça de correu electrònic proporcionada. Sense això, el sistema no arrenca.

El ransomware Mamba fou identificat el 7 de setembre durant un procediment de resposta a incidents per part de Renato Marinho, un expert en seguretat de Morphus Laboratories. Aquesta amenaça de malware utilitza el xifrat a nivell de disc que causa molt més danyo que els atacs basats en arxius individuals. Els desenvolupadors criminals han utilitzat el DiskCryptor per xifrar la informació., una eina de codi obert

Es va fer una comparació amb el virus Petya que també utilitza disc xifrat. No obstant això, Petya xifra solament les taules mestres d'arxius (MFT) de manera que no afecta a les dades en si.

Després de la reeixida infiltració, Mamba crea la seva carpeta titulada DC22 en la unitat C de l'equip on col·loca els seus arxius binaris. Un servei del sistema es crea i alberga el procés del ransomware. Un nou usuari anomenat MythBusters es crea associat amb la contrasenya 123456.

També sobreescriu el registre d'inici mestre (MBR) del disc del sistema que conté el gestor d'arrencada per al sistema operatiu. Això efectivament a l'usuari fins i tot carregar el sistema operatiu sense ingressar el codi de desxifrat.

WannaCry modifica

Pysa^{[cal citació]} modifica

Pysa és un ransomware desenvolupat a partir del virus Mespinoza —de la mateixa naturalesa- que encripta els fitxers dels usuaris amb l'extensió .pysa —si es tractés d’un arxiu JPG, per exemple, quedaria com .jpg.pysa- i genera a l'escriptori un arxiu de text anomenat Readme.README.txt amb instruccions per procedir al rescat dels arxius.

Aquest virus va ser detectat per primer cop l’octubre del 2019, infectant institucions —majoritàriament, acadèmiques, però també sanitàries o governamentals- dels Estats Units, Regne Unit i França.

El virus —recullen BlackBerry i l’FBI- no té capacitats d’autopropagació, per tant són els desenvolupadors d’aquest virus els que s’encarreguen de dirigir els atacs cap a objectius concrets, destacant l'equip de Recerca i Intel·ligència de BlackBerry que aquests atacs eren força planificats segons la institució a atacar.

Recentment, a Catalunya, la Universitat Autònoma de Barcelona ha estat atacada per aquest virus, deixant inutilitzable tota la infraestructura informàtica i de xarxa de la institució des-del 11 d’octubre del 2021.

Mitigació modifica

Igual que moltes formes de malware, els programes de seguretat les detecten (ransomware) una vegada que han fet el seu treball, especialment si una versió de malware està sent distribuïda. Si un atac es detecta de manera primerenca, es pot eliminar de manera senzilla sense donar-li temps de començar el procés d'encriptació. Experts suggereixen instal·lar programaris que ajudin a bloquejar aquest tipus d'atacs coneguts, com així també tenir còpies de seguretat en llocs inaccessibles per a qualsevol malware.

Referències modifica

↑ «programari de segrest». Cercaterm. TERMCAT, Centre de Terminologia.
↑ «Virus: Ransomware bitcoins y móviles». definición. Arxivat de l'original el 2014-02-21. [Consulta: 21 gener 2013].
↑ «McAfee: Cyber criminals using Android malware and ransomware the most». InfoWorld. [Consulta: 16 setembre 2013].
↑ IIEMD, Instituto Internacional Español de Marketing Digital. «Qué es Ransomware y cómo Microsoft lo combatirá» (en castellà), 15-11-2016. [Consulta: 15 novembre 2016].^{[Enllaç no actiu]}
↑ «Un nuevo virus secuestra los archivos del ordenador y realiza una curiosa petición». Levante-EMV, 11-04-2018 [Consulta: 11 abril 2018].
↑ «Stung by file-encrypting malware, researchers fight back» (en anglès). Stung by file-encrypting malware, researchers fight back. PC World.
↑ «Tucumano salva al mundo de un virus ruso». Tucumano salva al mundo de un virus ruso. Vo-Ve Noticias.
↑ Eina per al desxifrat de fitxers atacats per TeslaCrypt

Vegeu també modifica

Bibliografia modifica

A. Young, M. Yung. Malicious Cryptography: Exposing Cryptovirology. Wiley, 2004. ISBN 0-7645-4975-8.
Russinovich, Mark. «Hunting Down and Killing Ransomware (Scareware)». Microsoft TechNet blog, 07-01-2013. Arxivat de l'original el 16 de novembre 2015. [Consulta: 13 maig 2017].
Simonite, Tom. «Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware)». MIT Technology Review, 04-02-2015. Arxivat de l'original el 27 de novembre 2015. [Consulta: 13 maig 2017].
Brad, Duncan. «Exploit Kits and CryptoWall 3.0». The Rackspace Blog! & NewsRoom, 02-03-2015. Arxivat de l'original el 2015-09-24. [Consulta: 13 maig 2017].
«Ransomware on the Rise». The Federal Bureau of Investigation JANUARY 2015.
Yang, T.; Yang, Y.; Qian, K.; Lo, D.C.T.; Qian, L. «http%3A%2F%2Fieeexplore.ieee.org%2Fxpls%2Fabs_all.jsp%3Farnumber%3D7336353 Automated Detection and Analysis for Android Ransomware». IEEE Internet of Things Journal, CONFERENCE, AUGUST 2015.
Richet, Jean-Loup. «Extortion on the Internet: the Rise of Crypto-Ransomware». Harvard.

Enllaços externs modifica

A Wikimedia Commons hi ha contingut multimèdia relatiu a: Ransomware

Néstor Parrondo, L'estafa del correu electrònic de Correus: si piques, el teu ordinador quedarà inutilitzat, lloc digital 'Yahoo', 30 de març de 2015.
Associació Nacional Afectats Internet i Noves Tecnologies, Ajuden a recuperar els teus diners estafats.
{{format ref}} http://bestsecuritysearch.com/mamba-ransomware-discovered/, Blog de seguretat
Servei públic i gratuït antiransomware de INCIBE, Ajuden a desxifrar la informació i informen sobre mesures de prevenció per no veure's afectat.* Malicious Software a Curlie
Further Reading: Research Papers and Documents about Malware on IDMARCH (Int. Digital Media Archive)
Advanced Malware Cleaning – a Microsoft video

[termcat-1] «programari de segrest». Cercaterm. TERMCAT, Centre de Terminologia.

[definición-ransomware-2] «Virus: Ransomware bitcoins y móviles». definición. Arxivat de l'original el 2014-02-21. [Consulta: 21 gener 2013].

[infoworld-mcafeeransom-3] «McAfee: Cyber criminals using Android malware and ransomware the most». InfoWorld. [Consulta: 16 setembre 2013].

[4] IIEMD, Instituto Internacional Español de Marketing Digital. «Qué es Ransomware y cómo Microsoft lo combatirá» (en castellà), 15-11-2016. [Consulta: 15 novembre 2016].^{[Enllaç no actiu]}

[5] «Un nuevo virus secuestra los archivos del ordenador y realiza una curiosa petición». Levante-EMV, 11-04-2018 [Consulta: 11 abril 2018].

[6] «Stung by file-encrypting malware, researchers fight back» (en anglès). Stung by file-encrypting malware, researchers fight back. PC World.

[7] «Tucumano salva al mundo de un virus ruso». Tucumano salva al mundo de un virus ruso. Vo-Ve Noticias.

[8] Eina per al desxifrat de fitxers atacats per TeslaCrypt

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]