Secuestro de información por medio de Malware
Transcripción
Secuestro de información por medio de Malware
1 Secuestro de información por medio de Malware Mariano Moure Abstract-- El documento trata sobre el secuestro de información cibernético, definiendo los componentes que conforma el mismo, el aumento de casos a nivel mundial y la forma de prevenir o eliminar dicho problema. Index Terms-- Malware, CiberCriminal, Ransomware, Monedas Virtuales, BlackHole, ZeroAccess, AES, PGPCode, Cryzip, LockScreen, Ukash. I. INTRODUCCIÓN E ste documento explica que es un malware, como se clasifican, quienes los crea y para qué. Luego comentaré el contexto actual, los intereses que tienen los cibercriminales y finalmente comentaré sobre el malware Ransomware. Desarrollaré que lo caracteriza, los distintos casos que existieron y existen, como prevenir un ataque y en caso de estar afectado con algún caso las soluciones posibles que existen al desarrollo de este documento. II. ¿QUÉ ES EL MALWARE? Malware, dicha palabra viene de la definición "Malicious Software" que refiere a todo código o programa cuyo principal objetivo es lograr un daño o robo de información o un funcionamiento no esperado de un sistema informático, los más comunes son: A. Troyano: A los ojos de los usuarios realizan una acción deseada, como por ejemplo un archivo de música, una imagen, un documento o una presentación pero en realidad cuenta con código interno desarrollado para dañar o modificar el comportamiento de Sistema Operativo en el que se encuentra ejecutando, también denominado exploit. B. Backdoors: Conocido como puerta trasera, es utilizado para tener acceso a la máquinas y utilizar la misma para un ataque masivo. En la actualidad existe una evolución de este tipo de malware, la cual se ejecuta solo cuando la máquina se encuentra en reposo para que no sea detectado por el usuario. C. Gusanos: Son Virus que no necesitan un archivo anfitrión para ingresar a la máquina. Estos se expanden utilizando distintos medios de almacenamiento volátil(USB), redes locales, correos electrónicos y se detectaron casos en las redes sociales. D. Virus: Su objetivo es dañar el sistema operativo anfitrión. Los malware mencionados no son las únicas categorías que existen en la actualidad pero son los más conocidos. En este documento en particular trataré el malware categorizado como Troyano-Ransomware, primero explicare quien los realiza. III. ¿QUÉ ES UN CIBERCRIMINAL? Un Cibercriminal, es aquella persona o personas que realizan una actividad caratulada como Cibercrimen. Para definirlo dividiremos en CIBER y CRIMEN, busqué su significado en la Real Academia Española(RAE). Define a CIBER como un sufijo que indica que "Significa 'cibernético'. Ciberespacio, cibernauta", mientras que CRIMEN nos otorga 3 definiciones las cuales son: "Delito grave" , "Acción indebida o reprensible" o " Acción voluntaria de matar o herir gravemente a alguien". Por ende se puede definir Cibercrimen como un delito o acción indebida que realiza en el ámbito artificial creado por medios informáticos(Ciberespacio). Los delitos más conocidos de un cibercriminal son: a) ∙ Fraudes financieros. b) ∙ Entrada no autorizada a sitios web. c) ∙ Espionaje industrial. d) ∙ Pornografía infantil. e) ∙ Crímenes de mayores dimensiones como acoso sexual, secuestros, extorsiones y actividades relacionadas con el narcotráfico. Comentaré las diferencias entre un hacker y un cibercriminal. IV. ¿UN CIBERCRIMINAL ES UN HACKER? No, dado que un hacker se encuentra dividido en 3 categorías: A. Sombreros Blancos(White Hats): También conocidos como hacker éticos utilizan sus conocimientos para defenderse y por lo general son aquellas personas profesionales de la seguridad informática, aplicando sus conocimientos encuentran distintos tipos de vulnerabilidades y realizan las acciones correspondientes para corregir a las mismas. B. Sombreros Negros(Black Hats): También conocidos como cibercriminales, tiene vastos conocimientos de la informática, que los utilizan para el desarrollo de herramientas de búsqueda de vulnerabilidades, desarrollan código para obtienen un beneficio de ello. C. Sombreros Gris (Grey Hats): Son aquellas personas, que tienen conocimientos y los utilizan según les convenga o quieran. Por lo general para sus propósitos utilizan herramientas desarrolladas por los black hats. Los Sombreros Grises y Negros realizan los Cibercrimenes, por este motivo son considerados cibercriminales, explicaré cual es su motivación. 2 V. ¿QUÉ LOS MOTIVA? Entre fines de la década de 1980 y principios de la década 1990, el perfil del cibercriminal tenía como objetivo destacar en un grupo. Para ello aplicaban sus conocimientos para dañar un objetivo y conseguir popularidad por ello. Ejemplo de esté habito, aquellos considerados aprendices lo siguen utilizando en forma de practica. http://www.solosequenosenada.com/wpcontent/uploads/2011/01/anonymous.gif Hoy en día el objetivo es plenamente monetario o por una causa que crean justa. Por este motivo los cibercriminales de la actualidad deben no sólo contar con un perfil técnico, sino que también debe contar con conocimientos financieros o acudir a quien los posea. A continuación desarrollaré ambos perfiles. También contamos con otras herramientas activas pero en este caso se utilizan de forma offline, por lo general para realizar estos ataques se debe contar con base de datos de contraseña. Luego utilizar alguna técnica para obtener la o las contraseñas. Las técnicas más utilizadas son Diccionario, Fuerza Bruta, Sílabas, Basados en reglas y también Hash Pre-computados. Uno de los Sistemas Operativos más utilizados en la actualidad, tanto por los cibercriminales y los especialistas en seguridad en sistemas, es el BackTrack, el cual cuenta con las herramientas mencionadas y muchas más. Sus características son que es una distribución de Linux, la cuenta con agregados de distintas herramientas desarrolladas por los Hacker de sombrero blancos y grises. Con este tipo de herramientas, las cuales avanzan y mejoran su eficiencia, generan que los niveles de conocimientos técnicos para un cibercriminal sea baja, pero en el caso que se realicen ataques de mayor grado deben contar con un nivel técnico por lo menos medio a avanzados como es el caso de los sombreros negros (black hats). VII. PERFIL DE NEGOCIOS CIBERCRIMINAL: VI. CONOCIMIENTOS TÉCNICOS CIBERCRIMINAL Un Cibercriminal en las décadas anteriores tenían que tener muchos conocimientos técnicos en comparación con los actuales, dado que hoy en día disponen de grandes cantidades de herramientas, que facilitan las tareas y necesitan un menor conocimiento. Algunas de las más conocidas y utilizadas son: A. Netcat: No cuenta con una interfaz de usuario, lo que no lo hace amigable para cibercriminal promedio. Su poder es ilimitado dado que utiliza el protocolo TCP/IP al máximo. Esta herramienta es muy poderosa, dado que por ejemplo con un simple comando se puede ejecutar un programa, pasar un archivo y sniffear1.Cibercriminal podrá realizar todas estas acciones de manera remota. B. Nessuss: Es un programa utilizado para escanear distintas vulnerabilidades de los sistemas operativos vigentes, de fácil uso. Utilizado por todo aquel cibercriminal con conocimientos mínimos. Su principal desventaja es que en sistemas que se encuentra monitoreado es fácilmente detectable. C. Obtención de claves: Utilizado para acceder a un lugar no publico mediante un usuario robado de una organización o empresa o información personal. Dentro de las técnicas electrónicas activas de obtención de claves se destaca por ser poco eficiente Password Guessing, para desarrollar la misma hay que probar contraseñas hasta obtener la correcta, esto hace que sea fácilmente detectable2. 1 Capturar paquetes de una red. Si un usuario intenta más de una cierta cantidad de vez, el encargado de seguridad debería bloquearlo o pedir que la restablezca 2 Si bien con los conocimientos técnicos, el cibercriminal puede realizar el ataque deberá contar con un perfil o socio que se encargue de la obtención del dinero, motivo por cual se realizó el ataque, dado que se trata de una transacción ilegal. Y para poder obtener su objetivo debe contar con conocimientos financieros para evitar que los controles que se realizan contra estas actividades lo detecten. Algunas de las estadísticas realizadas en el 2012 revelo que el negocio del Cibercrimen afectó a 12,6 millones de víctimas. Esto nos da un promedio de 1 víctima cada 3 segundos y se calcula que generó una ganancia de 21 Billones de dólares a nivel mundial. En Latino América la cantidad de ataques ha aumentado entre un 8 a 40% en el 2012. Una de las herramientas más utilizada para encubrir estas transacciones, son las monedas virtuales de las cuales se destaca Bitcoin. VIII. ¿QUÉ ES BITCOIN? Bitcoin es una moneda Digital descentralizada, creado en el 2009 por Satoshi Nakamoto. Es descentralizada porqué no depende de un organismo central que se encargue de emitirla. Para emitirla se realiza un proceso de minería. Dicho proceso utiliza varias maquinas para desarrollar solamente un Bitcoin, ya que cada una de ella cuentan con un fragmento de la moneda, se encuentra en distintos lugares del mundo. 3 Para garantizar que no se genere un fraude, utiliza un sistemas de encriptación y transaccionalidad. Al tener las características mencionadas , se garantiza que cada transacción sea potencialmente anónima. Por este motivo es muy utilizada en el mundo de los Cibercriminales, ya que realizar un seguimiento de la transacción se volverá tediosa para quién desee descubrir el destino de los Bitcoin. Al ser descentralizada no se devalúa y no sea administrada por ninguna figura gubernamental. Para logra poder captar a mas usuarios cuenta con aplicaciones desarrolladas para Windows, GNU/Unix y Mac OS X. IX. ¿CÓMO FUNCIONA EL BITCOIN? El usuario de Bitcoin tiene una Cartera Digital3, una clave Pública y una Privada4. El usuario tiene la posibilidad de obtener dichos Bitcoin por medio de la compra de los mismos a quien realiza la minería o quién los tenga con posteridad. Las transacciones se realizan de la siguiente manera: a) El usuario receptor de los Bitcoin le envía su clave pública a quien desea transferir su Bitcoin. b) El usuario que desea enviarle los Bitcoin agrega en la transacción la clave pública que le envió el destinatario con el monto que desea enviar. c) Por último el usuario que realizar el pago debe firmar la transacción con su clave privada secreta, esto por garantizar que es ella.Minutos después que la transacción fue replicada, con todos los detalles de la transacción, a todas las máquinas que esté disponible en la red P2P, el usuario receptor verá reflejada la transacción en su saldo. En realidad las operaciones son consideradas pseudoanónimas, porque no es necesario que el usuario de su nombre o que sea la única cuenta de Bitcoin con la que cuente, para realizar la transacción sólo comparte la clave pública. En Valor del Bitcoin es volátil(varía según la demanda el mercado) por tal motivo, Bitcoin recomienda que no se lo utilice como manera de ahorro, a continuación se puede observar la variación sufrida en el último mes: Valoración de Bitcoin http://www.eleconomista.es/cruce/BTCUSD En la actualidad el Bitcoin es utilizado no sólo para compras por internet sino que también es utilizado para el día a día, por ejemplo en los últimos tiempos se sumó al uso del Bitcoin eGifter, su producto son tarjetas pre-pagadas aceptadas en más de 100 tiendas menoristas en los Estados Unidos de Norte América(EEUU) en las cuentas se encuentra negocios como Wal-Mart, Barnes & Noble, Land’s End, Home Depot y CVS Pharmacy (http://elbitcoin.org/gracias-a-egifterwalmart-se-abre-a-bitcoin/) y el buscador más utilizado en china, Baidu. Para el pago de sus servicios Jiasule, utilizado mejorar el rendimiento de una página web, la velocidad y la seguridad. El principal inconveniente es que los gobiernos no están de acuerdo en especial el de EEUU con que este tipo de moneda, por 2 motivos principalmente que la caracterizan, los cuales son el anonimato de las operaciones y por no ser una moneda centralizada. En cuanto al anonimato, EEUU indica que esta moneda es utilizada para transacciones de dinero negro, sea Cárteles de droga, Cibercrimen o cualquier operación clandestina, y en cuanto a su manera descentralizada es porque no puede manipularse su emisión. En la actualidad, otras compañías como es el ejemplo de Google no desean permanecer ajenas a las monedas digitales, por ello cuenta con la aplicación Wallet, la cual permite mediante el uso de una aplicación, y sus principales características es se encuentra disponible para Android, Windows y Mac O.S. X, como también que a diferencia del Bitcoin cuenta con el apoyo de las tarjetas de crédito para su adquisición y la entidad bancaria City. Wallet y Bitcoin no es son las únicas moneda virtual en el 2011 un ex-empleado de Google tomo el código de Bitcoin, lo mejoro creando Litecoin, sus característica son que puede producir 4 veces más unidades que Bitcoin, como también que las transacciones toman menor tiempo. Ahora comenzaré a tratar el caso de secuestro de información, dado que ya explique, que es un malware, quien lo hace y el objetivo que ellos tiene. X. ¿QUÉ ES RANSOMWARE? Ransomware es un malware que se utilizado por Cibercriminales para obtener dinero de sus víctima a cambio de su información secuestrada. La denominación Ransomware proviene del modelo de negocio utilizado por los desarrolladores que otorgaba un programa de prueba (demo) y luego para obtener la totalidad del mismo o seguir utilizándolo debería abonar un monto por ello. 3 4 Donde se almacena la cantidad de Bitcoin que cada usuario contiene. Para garantizar que cada operación sea realizada por verdaderos usuarios. 4 1) BlackHole: Este malware busca las vulnerabilidades que contiene la máquina de la víctima. Utilizada por lo general en sitios web, esté pertenece al grupo de troyano, según AVG estima que casi el 90% todas las amenazas detectadas por sus clientes, que proviene de internet pertenece a BlackHole. El mayor creado y proveedor de este tipo de malware fue detenido en Rusia este año, en el mes de Octubre, el cual se denominaba Panza, el desarrollo contaba con un backoffice para administrar la campañas y actualizar los exploit. Pague para acceder a su computadora http://autistasinformaticos.es/wpcontent/uploads/2013/07/ransomware.jpg Para el Malware lo definiré como un proceso que secuestra la información en la computadora y pide un rescate para volver a utilizarla. Ahora desarrollaré los pasos que utilizan para infectarnos. XI. ¿CÓMO NOS INFECTAMOS? En la actualidad la forma de infección puede variar en muchos formatos, pero mocionaré los más conocidos y utilizados por los cibercriminales para infectar las máquinas de sus víctimas. El programa que realiza la infección previamente debió ser ejecutado por la víctima, por lo general se encuentra en algunas de las siguientes maneras: 1) Programa Malicioso: el usuario víctima instala un programa, que puede ser por ejemplo open-source, el cual no fue descargada de una página no oficial, pero también existen caso de descargarlo desde la página oficial la cual fue alterada previamente. Otra manera solo los programas especialmente creado para enmascarar el malware. 2) Mail Masivo: Mail de tipo SPAM o de fuente desconocido, puede que la presentación o imagen o simplemente información que supuestamente es valiosa para un trabajo contenga el proceso de infección. Por lo general el mail, proviene de la cuenta de otra víctima. 3) Reproducción de música o video: sucede lo mismo que con los programas modificados. 4) Navegación Web: Hay casos que en páginas web con solo navegarla pueden infectar la máquina víctima, como el caso de aplicaciones realizadas en Flash o Java script. El usuario no se va a dar cuenta que está siendo infectado, porque el programa que él ejecutó se encuentra corriendo correctamente, mientras que en segundo plano se ejecuta un exploit, que cuenta con las instrucciones para llevar a cabo la infección, que explayaré a continuación. XII. PROCESO DE INFECCIÓN Por lo general, el proceso de infección de Ransomware está relacionado con otros 2 (dos) tipos de malware, los cuales son BlackHole y ZeroAccess, ambos facilitan la tarea que luego realizará Ransomware. Actúan de en conjunto dado que: 2) ZeroAccess: el objetivo del mismo es camuflar las actividades que realizar, en nuestro caso el Ransomware. Sus acciones son instalar un sistema de controlador de acceso a disco, encriptando parte de él para no ser descubierto e infecta DLL dentro del sistema operativo así este cree que esta funcionado correctamente y hasta elimina procesos de reconocimientos de los antivirus. Una vez ejecutados estos tipos de malware solo le quedará a Ransomware su tarea, la cual cuenta con un proceso de encriptación de datos, la instalación los pasos a seguir para cobrar el rescate por información del usuario y asegurar la mantención del acceso a la máquina de la víctima. Ahora entraré en detalle de como realiza estas tareas. XIII. PROCESO DE ENCRIPTACIÓN Este proceso es el encargado de buscar archivos, con extensiones como .doc, .docx o .ogt (archivos de texto plano); .xls, xlsx (archivos de hoja de cálculo) o toda aquellas que el Cibercriminal crea necesarias para que la victima page el rescate. Una vez encontrados dichos archivos se procede a la encriptación de los mismos, en la mayoría de los casos se suele utiliza AES-256, esto quiere decir que para desencriptar se requería de una o más claves de 256 bits para acceder a dicha información. Existen otras formas de encriptar la información, pero como es la más utilizada, describiré las características de este proceso. XIV. AES-256 AES, es la sigla de Advanced Encryption Standard, el cual fue creado por Vincent Rijmen y Joan Daemen. Este tipo de criptograma fue desarrollado luego que en 1997 el Triple-DES resultaba muy lento y inflexible de aplicar cuando se necesitaba almacenar mucha información. Con la formación de AES, se logró cubrir esos problemas y para ello se implementó tres (3) pilares que son los que mantiene la robustez, flexibilidad y rapidez de este tipo de cifrados. Los 3 pilares son : A. Confusión: Relación entre el mensaje real y el cifrado, qué tipo de clave utiliza, el tipo utilizado es el Cifrado del César, el cual era utilizado en la antigua Roma para enviar mensajes encriptados a las línea de ataque y el enemigo no entendiera de que se tratara si tomaba el mensaje, para ello 5 utiliza un desplazamiento del alfabeto utilizando un código que indica cuánto se desplazó el alfabeto. En este ejemplo Confusión contamos con un desplazamiento de 13 lugares, por este motivo la letra H está representada en el mensaje encriptado con una letra U, y se repite dicha situación en el resto de los casos. B. Difusión: Para realizar la difusión o también llamada Transposición se ordena texto de mensaje que deseo cifrar. Lo ordenó en columnas de N filas por N columnas, las cuales son separadas de manera vertical y re ordenar según un criterio en un nuevo mensaje. Ejemplo: utilizando la permutación 24531, el mensaje “MANOS ARRIBA ESTO ES UN ATRACO”, obtenemos lo siguiente: “AOSMN RIBRA ETOSA SNAUE RCOAT” Imagen sobre un ejemplo de cómo se realiza la difusión la fuente de la imagen es: http://www.math.com.mx/imagenes/cripto6.jpg C. Solo la clave es secreta: La forma de como se hace el cifrado se encuentra documentada y publicada, pero lo único que no se sabe es la clave, por este motivo mientras esta permanezca fuera del alcance de quienes no deben saberla alcanza. Es utilizado por los cibercriminales, ya que es rápida y robusta a niveles de 256, al ser un estándar de encriptación se encuentran embebidos en los procesadores, haciendo más rápido aún su uso. A continuación comentare sobre los diferentes caso que más impacto han tenido en el paso del tiempo hasta llegar a los más actuales. XV. CASOS CONOCIDOS En la actualidad este tipo de malware afecta a millones de usuarios y el mismo va duplicando la cantidad de víctimas año a año. Casos informados de Ransomware a Mcafee en el reporte McAfee® Labs Threats Report: Third Quarter 2013, el mismo se encuentra desde el primer cuarto del 2011 hasta el tercer cuarto del 2013. En el tercer cuarto del año de 2013, Mcaffe estimo que los casos fueron de 312.000 casos, dando un total parcial para este año de 882.000. Por este motivo indagaremos sobre la historia de estos malware. El primer caso más significativo se desarrollo en el año 1989 en el cual se conoció con el nombre de AIDS (SIDA en ingles), el mismo fue distribuido por correo a las compañías farmacéutica, el cual tenía información sobre el VIH. En cuanto los usuarios lo ejecutaban, aparecía una pantalla el cual demandaba un pago a cambio de poder acceder nuevamente al disco. En la actualidad existe distintos casos de Ransomware y con distintos objetivos, que pueden variar entre encriptar solo el disco, bloquear el sistema operativo o afectar una aplicación. A partir del 2005,reapareció este tipo de malware el caso fue conocido como PGPCoder, y el próximo mas relevante fue el Cryzip en el 2006. Este caso, Cryzip, realizaba la búsqueda de archivos con extensiones, las cuales consideraba importante y ejecutaba el programa ZIP que viene en Windows por defecto, y comprimía los archivos colocándole una clave, la cual luego fue descubierta y divulgada. Su mecanismo utilizado para conseguir que la victima pagara por la clave, consistía de colocaba un archivo de texto en cada carpeta que comprimía. En el este archivo indicaba los pasos a seguir para realizar el pago, para el cual utilizaba una cuenta de E-GOLD. Cuando se entero que lo utilizaba para dichos fines la bloqueo al usuario, no permitió realizar más la transferencias a dicho usuario. En el 2010 el malware que más usuarios afecto fue el LockScreen, su objetivo era afectar al sistema operativo bloqueando el acceso al mismo. Una vez ejecutado, reiniciaba la maquina y aparecía la siguiente pantalla: 6 Pantalla de inicio que los Sistemas Windows afectados por LockScreen. http://blogs.eset-la.com/laboratorio/wp-content/uploads/2010/01/locklogin.png No solo bloqueaba el acceso al sistema operativo sino que también controlaba las teclas Control, Shift, Alt y los botones del Mouse de esta forma lo que aseguraba el malware es que el usuario no intente acceder al sistema de administración de tarea. La principal debilidad de este malware fue que en el mismo se encontraba almacenado el serial del mismo. Este es "DosyaYolu" con lo cual una vez descubierta solo restaba eliminar el archivo benimServerim que era el ejecutable del malware y también eliminar la entrada de los registros de Windows eliminarlo por completo del Sistema infectado. Si el usuario introducía otro serial, lo enviaba a una página web la cual le recomendaba bajar un programa para eliminar el malware, la cual la había realizado el mismo cibercriminal y obtenía beneficios monetarios por el mismo. En la actualidad los malware han evolucionado y no almacenan la clave en el código. El malware Uskash también conocido como el "Virus de la Policía", esté malware tiene la capacidad de adaptarse a los distintos países que se encuentra afectado con el mismo, para ello tiene una estructura pre-armada la cual toma los logos según la fuerza policial de donde se encuentre el sistema afectado. Le piden una contraseña la cual debe pagar mediante Bitcoin o tarjetas de crédito o por medio de MoneyPak. Para tener éxito utiliza tres elementos: Algunos de los caso de los distinto Ransomware malware del Policía en Latino América http://xcdn.infospyware.com/images/2012/Cybergeddon_DFF8/RansomLATA M.jpg A continuación mencionare la evolución que tomó dicho malware: Marzo Junio Octubre Febrero A. Vulnerabilidades: Recientes problemas detectados en aplicaciones masivas e insertándolo en páginas web muy visitadas. B. Malware sencillo y efectivo: dado que cuenta con una sola pantalla y espera recibir comandos de un servidor, haciendo el antivirus lo tome como algo sospechoso y de esta manera eludir al mismo. C. Ingeniería social: Para que la víctimas no duden que están siendo advertidos por las autoridades policiales la estructura de la pantalla que muestran contiene indicaciones que indican que han violado leyes de contenido web, descargando música, videos o indicando que ingresando a sitios de contenido sexual. Esto lo hace para darle credibilidad a la estafa. Dado el último punto los usuarios terminan abonando lo que entienden que es una multa que le habría puesto la policía. Marzo Abril Mayo Junio 2011 Primera aparición en El laboratorio de Kaspersky como "Policia Alemana" Se Extiende a otros países de Europa(Italia, Inglaterra, Francia , España) Se reportan ataques en Argentina, utilizando la PFA. Nueva Versión, No incluyen la imagen en su interior, la descarga de un servidor dependiendo de la dirección IP del infectado. Contiene una botnet que permite eliminarla de manera remota por el atacante 2012 Nuevo diseño de la pantalla, renombra los registro de Windows para arrancar en modo seguro, mientras que la versión "mainstream" utiliza diferentes registros de inicio de Sistema Operativo y Bloquear el mismo. Microsoft informa una variante Trojan:Win32/Ransirac.G, también utiliza otros elementos para afianzar el fraude. El malware utiliza una vulnerabilidad de Java para distribuirse. Nueva Variante Koeserg, cifra todos los archivos .doc, xls, .dbf, pdf, txt, jpg png, gif, con un clave 1024 bits. Utiliza HTLM para la presentación de la pantalla y otros registros para Bloquear Windows con lo cual niega por completo acceso al inicio de modo seguro. Variante Ransom.Win32.Rannoh: Encripta los archivos, le agrega la palabra "locked" antes del nombre de usuario y 4 caracteres aleatorios al final. Nueva versión que utiliza la webcam para 7 Agosto Diciembre Enero Febrero Abril Mayo sumarle credibilidad a la estafa, comentando que están siendo grabados para ser identificados. El FBI emite una alerta sobre una variante que es utilizada en Estados Unidos. TrendMicro reporta una variante TROJ_REVETON.HM, suma una reproducción de audio en el lengua de la maquina infectada Nueva versión Ransom.Block encripta los archivos en AES-256 si no se utilizan los archivos contraseña adecuado (Initia1Log.txt.block y ok.txt.block no se lo puede recuperar. 2013 Nuevo Diseños de pantalla y suma más "razones" de Bloqueo: Violación a derechos de autor, Posesión de material pornográfico, Actividades terroristas, Difusión de malware, Juegos de Azar, Envíos de Spam. Aparecen Casos en nuevos países de America Latina. Chile, México, Panamá, Bolivia, Brasil y Ecuador son los países más significativos. La Versión Kovter utiliza historial de navegadores para reforzar la estafa. Microsoft informa que la variable Revento ahora también instala un KeyLogger, para crear logs de lo ingresado por teclado para robar la contraseñas de la victimas. Pantalla de Bloqueo de la versión Reventó. http://i.imgur.com/RKEcYnQ.png Cabe aclarar que este tipo de versión de malware es desarrollado por un cibercriminal técnico el cual licencia su código en forma de Blackhole, por ello el nivel de adaptación por medio de servidores. Los Cibercriminales Financieros adquieren este paquete de exploit en la DEEP web, cargan los logos en su servidores de la fuerzas policiales y definen el monto a pagar según el país al nicho de victimas que ellos apunte. Por ejemplo el monto a pagar en Argentina se encuentra entre los $50.- a $200.- en casos de ser una víctima hogareña, mientras que en Estados Unidos se trata de u$s300.- o en el caso de Europa €300.-. De esta manera los Cibercriminales se aseguran que el usuario crea más en el fraude y puede pagarlo. En casos Corporativos los Cibercriminales cobran muchos más dinero, dado que tiene en su poder información vital para economía de la corporación. A mediados de 2013 se dio a conocer un nuevo Ransomware el Cryptolocker, las principales diferencia con Uskash las diferencias que tiene son: a) es que contiene 2 claves de desencriptación. b) La ingeniería social utilizada es amenaza que borrara, las claves en 72(setenta y dos) horas en caso que no se pague el rescate. c) Encripta utilizado RSA2048 que sin las claves, es imposible recuperar información. Pantalla de pago por medio de Bitcoin, Ransomware-Cryptolocker. http://cdn.arstechnica.net/wp-content/uploads/2013/10/BitCoin-640x498.jpg Siempre es preferible evitar este tipo de casos por eso en este documento trataré como evitarlo XVI. COMO EVITARLO La principal forma de cuidar nuestros datos de los Cibercriminales es no tener conectado nuestra maquina a Internet cosa que hoy en día es imposible, dado las ventajas que nos otorga esto en el día a día. Como conectar dos negocios que en otro sitio sin importar donde se encuentre en el planeta o simplemente realizar un video conferencia o inclusive mandar un mail. Ya que la primera parte es casi inviable, la mejor manera de llevar a una buena defensa de nuestra información es aplicar las siguientes las recomendaciones, las cuales mencionare según su nivel de importancia. 1) Copia de Seguridad: Tener una copia de la información ¿Cómo saber la manera de cuánto y con qué frecuencia realizarlo? Sabiendo cuánto dinero desea gastar y esto se define con ¿Cuánto se gastaría si se perdiera dicha información, en el caso que fueran recuperable? Estas variables que se va nivelando según el usuario. Existen caso que realizan respaldos de información constantemente y una gran cantidad de información que varía en Terabyte(TB) o Petabyte(PB) , mientras que hay casos más hogareños que se realiza 1 vez por mes o año y con una cantidad mucho menor que llega a unos siento de Megabyte(MB) o Gigabyte(GB). 2) Software Legal: Dado que al ser ilegal, en primer lugar para utilizarlo por lo general deben seré corrompidos por unos programas, como es el caso de Windows, dichos programas puede tener un exploit tranquilamente. 3) Actualización de Software: Las actualizaciones de seguridad que pudieron surgir en otros usuarios provocados 8 por malware o por vulnerabilidades en el software es importante contar con la última versión . Estos también se aplica a los agregados como Flash o Java en los casos de los navegadores. 4) Antivirus y firewall: Si bien las bases de datos de dichos programas son actualizadas a diario, esto nunca podrían adelantarse a nuevos casos de malware y las variantes antiguas tengan, pero si poseen información sobre aquellos que ya se han sido detectadas y bloquearlos en caso que estos ataquen al sistema víctima. 5) Encriptar: Mantener la información confidencial cifrada de tal manera que si un cibercriminal llega a ellos no pueda saber que contiene. 6) Descargar archivos Confiables: Al descargar de archivos de fuentes no fiables puede que contenga un exploit, con esto me refiero a programa, música, imágenes o presentaciones. 7) Navegación Prudente: Tratar de Navegar siempre por las mismas páginas para tener la confianza de no ser atacados. Si bien esta es una medida que puede tomar el usuario las paginas puede ser modificada por cibercriminales sin que los creadores de la misma noten que la pagina fue cambiada. Si bien siguiendo estos concejos se puede contar con mayor seguridad no siempre se logra escapar de los cibercriminales, dado que como se menciono siempre están realizando actualizaciones y mejoras de los exploit. Con una sola vulnerabilidad encontrada el cibercriminal podrá realizar el ataque por eso es recomendable contar con la mayor cantidad de prevenciones posibles. Pero si con ello no alcanza en algunos casos hay como solucionarlo. XVII. COMO ELIMINARLO En los últimos tiempos como comenté las evoluciones de los malware de Ransomware han dificultado la manera de recuperarlo cambiando el tipo de encriptación y los bloqueos de teclas para evitar distintos acceso a los sistemas atacados. Como vimos tenemos el caso que se bloquea el acceso a las teclas como control, ALT y suprimir para evitar que accedan al control de tareas de Windows, o el caso que se anulan las telas del mouse fuera de la pantalla. No solo eso sino que también se bloque al acceso en modo seguro, rompiendo el mismo, para que no tengan acceso a los archivos cifrado. Todos estos mecánicos son realizados para no poder trabajar para librase del malware. Si bien existen todos estos inconvenientes, a no entrar en pánico existen distintas herramientas. Lo primero que hay que hacer es utilizar otra máquina y buscar información sobre él malware que lo ha infectado, utilizando como campo de búsqueda el nombre, alguna característica o alguna parte de la leyenda que lo caracterice. Una vez que contamos la información, sabremos si el malware tiene solución. La forma más efectiva de enfrentar estos casos es utilizando el respaldo, en caso de tener uno de su maquina, caso contrario tendrá que ingresar al sistema en lo que se denomina en modo seguro, al mismo se accede presionando la tecla F8 mientras se encuentra iniciando la maquina, pero la mayoría de los actuales malware como hemos leído dejan sin funcionar está opción de arranque. En el caso de estar en dicha situación existen versiones de Sistemas Operativos Booteables5, puede utilizarlo para poder realizar un respaldo de los archivos que fueron afectados. Luego de acceder a nuestra información, se debe intentar desencriptar, por ello es recomendable realizarlo sobre una copia de los archivos encriptados, porque los mecanismos al no conocer las claves podrán dañarlos definitivamente. Algunas de herramientas que existen en la actualidad para realizar esta tarea son: A. PoliFix: Esta herramienta se encuentra en su versión 2.0.8.3 y está dedicada a eliminar el Ransomware Uskash, la misma esta actualizada y creada por la pagina Infospyware. B. Panda Ransomware Decrypt: Se encuentra desarrollada por Panda y intenta desencriptar aquellos archivos de tipo .doc, .xls y .pfd. No son las únicas herramientas del mercado, pero cada caso tiene una amplia variedad de herramientas para combatirlo, por ello se recomienda buscar por el tipo de malware que lo afecto. Si las herramientas han tenido éxito el próximo paso es reinstalar el sistema operativo para asegurarse que no tengamos ningún tipo de remanente del malware. ¿Qué pasa si utilizamos todas las herramientas y no conseguimos tener nuestra información? Sólo queda pagar el rescate y espera que el cibercriminal nos envíe la o las claves para obtener la información. Esto en la actualidad sucede en el caso de Cryptolocker. Por este motivo las fuerzas de seguridad en la actualidad se encargan desarmar las bandas de cibercriminales, como la Policía Nacional Española y Europol en Febrero del 2013 se realizo un operativo del cual se detuvieron 11 cibercriminales, los cuales se estima que tenían una ganancia de alrededor de €1.000.000.- por año, y en el momento de la captura se encontraba en poder de cobrar €26.000.- pero si bien desactivaron esta banda no garantiza que los casos de esta banda no sigan continúen afectando a personas o organizaciones o bandas con el mismo Blackhole realicen los ataques. XVIII. CONCLUSIÓN Mediante el desarrollo de este documento se han tratado distintos puntos sobre la actualidad y evolución del malware, la información se encuentra en forma digital y cada vez con mayor volumen e importancia en aspectos empresariales y hogareños. Por estas causas, el aumento de la información hogareña, sumado a que las principales compañías comenzaron a implementar seguridad en sus procesos de negocios, los cibercriminales optaron por cambiar su proceso de negocio. Cambiando el objetivo a quien atacar, si bien no es tan fructifico en la suma obtenida en cada operación, la suma de 5 Un sistema operativo booteable es el que inician desde un dispositivo de almacenamiento volátil(USB) o un disco(CD-ROM o DVD-ROM) 9 estas operaciones logra tener un gran rédito en su economía, y es a lo que apunta los cibercriminales. No solo ha cambiado hacia quien atacan, sino también que las victimas dejaron de utilizar una maquina de escritorio o notebock o netbock y comentaron a utilizar los dispositivos de móviles, los cuales realizan tareas que cubren muchas de las necesidades del usuario promedio y a una gran velocidad. Como podemos observar en la siguiente imagen, la cual muestra el crecimiento de esto dispositivos en los últimos tiempos: Comparación de la asunción del Santidades Benedicto XVI en el 2005, cuando asumió Francisco. http://editorial.designtaxi.com/news-8yrdiff1503/3.jpg El aumento de dispositivos móviles es notable. Por este motivo que los malware están mutando hacia los dispositivos con sistemas operativos de tipo Android, Black Berry o Mac OS en el caso estudiado durante este documento, Ransomware, existe una versión para Android el cual es denominado como Fakedefender, el cual realiza las mismas tareas que los casos anteriormente mencionados. Android.Fakedefenderhttp://www.symantec.com/security_response/writeup.jsp? docid=2013-060301-4418-99 Otros de los factores que han permitido el crecimiento de este tipo de actividad es la utilización de la moneda virtual, si bien la más utilizada en la actualidad es Bitcoin no es la única variante de este tipo de moneda. Pero la mencionada cuenta con un gran valor en la actualidad por el aumento de su demanda y lo más importante la anonimidad de quien la posee, haciendo así casi imposible realizar un seguimiento de donde se encuentra una vez transferida la misma. Todos estos factores generan que el precio del malware sea considerado como uno de las principales actividad ilícita del siglo XXI, este año se calcula que generará entre 300 mil millones a un billón de dólares. Por este motivo los países han comenzado a combatirlo, dado que las operaciones pueden realizarse a grandes distancias y en países en conflicto diplomático, utilizado por los cibercriminales para logrando de esta manera resguardarse y lograr su objetivo. La única manera de lograr combatir el negocio del malware es enseñando a los usuarios a tomar ciertas precauciones, las cuales fueron mencionadas en el documento, utilizando programas seguros, frecuentar siempre en las mismas páginas que navegan, como también que realicen de manera periódica las actualizaciones y respaldo de seguridad de la información más valiosa. En cuanto a ello en la actualidad se mucha gente ha comenzado a utilizar servicios de almacenamiento de la información en el ciberespacio pero siempre hay que tener una copia del mismo en un medio físico porque no existe maquina más segura que aquella no se encuentra conectada a la red. Dado que existen casos que las empresas mantenía la configuración por defecto, gran problema porque es lo primero que un cibercriminal va a intentar atacar, siempre es recomendable contar con una configuración personalizada por personal técnico idóneo y intentar mantenerse informados sobre los distintos malware que surgen en el mercado o las actualizaciones que tiene los Blackhole, dado que como he mencionado un cambio en ellos afecta a todos los versionados que el mismo posee. XIX. REFERENCIAS http://sophosiberia.es/5-sencillos-consejos-para-evitarransomware/ http://www.slideshare.net/txipi/una-guia-para-entenderadvanced-encryption-standard-aes-con-munecos-de-palo http://www.securitybydefault.com/2013/04/tres-grandesamigos-blackhole.html http://foro.elhacker.net/tutoriales_documentacion/el_netcat_la _navaja_suiza_de_los_hackers_y_administradorest15859.0.html http://www.tenable.com/products/nessus http://www.securitybydefault.com/2010/03/ataques-decontrasenas-password.html http://es.wikipedia.org/wiki/Criptograf%C3%ADa http://sophosiberia.es/ransomware-no-pagues-el-rescate/ http://www.sophos.com/enus/medialibrary/PDFs/other/sophossecuritythreatreport2013.p df http://es.wikipedia.org/wiki/Bitcoin http://bitcoin.org/bitcoin.pdf https://en.bitcoin.it/wiki/Protocol_rules 10 https://es.bitcoin.it/wiki/P%C3%A1gina_principal https://en.bitcoin.it/wiki/Main_Page https://es.bitcoin.it/wiki/Introducci%C3%B3n https://en.bitcoin.it/wiki/Introduction https://es.bitcoin.it/wiki/C%C3%B3mo_asegurar_su_monede ro https://github.com/bitcoin/bitcoin http://elbitcoin.org/gracias-a-egifter-walmart-se-abre-abitcoin/ http://www.ieco.clarin.com/economia/BitCoin-dolarInternet_0_678532398.html http://www.clarin.com/internet/claves-bitcoin-dinero-digitalgente_0_1000700335.html http://www.eleconomista.es/cruce/BTCUSD http://pandalabs.pandasecurity.com/es/ransomware-se-hacepasar-por-microsoft/ https://latam.kaspersky.com/sobre-kaspersky/centro-deprensa/blog-de-kaspersky/%E2%80%9Cel-virus-de-lapolicia%E2%80%9D-regi%C3%B3n-4-laexpansi%C3%B3n-de http://www.interior.gob.es/press/golpe-policial-a-una-de-lasmayores-redes-cibercriminales-especializada-en-infectarmillones-de-ordenadores-de-todo-el-mundo-14802 https://www.europol.europa.eu/content/police-dismantleprolific-ransomware-cybercriminal-network http://ejercitogeek.net/2012/05/ransomware/ http://www.nytimes.com/2012/12/06/technology/ransomwareis-expanding-in-the-united-states.html?pagewanted=all&_r=0 http://www.malwaredigger.com/2013/06/the-case-ofwin32filecoder-ransomware.html http://blog.malwarebytes.org/intelligence/2013/07/fbiransomware-now-targeting-apples-mac-os-x-users/ http://aboutthreats.trendmicro.com/us/definition/ransomware/index.html http://www.techrepublic.com/blog/it-security/new-strain-ofransomware-evades-detection-by-av-apps/ http://pandalabs.pandasecurity.com/es/el-auge-delransomware/ http://blog.segu-info.com.ar/2013/07/ransomware-anti-childporn-spam.html http://rusiaaguilar.blogspot.com.ar/2011/12/cibercrimen.html http://www.bsecure.com.mx/enlinea/hasta-los-mas-neofitosen-tecnologia-ya-son-cibercriminales/ http://mediosfera.wordpress.com/2009/09/24/cibercrimen-elnuevo-rostro-de-la-delincuencia/ http://www.bsecure.com.mx/featured/seis-pendientes-queimpiden-el-combate-al-cibercrimen/ http://noticias.lainformacion.com/ciencia-ytecnologia/ciencias-informaticas/un-pequeno-barrio-rumanoes-la-capital-global-delcibercrimen_kB9RnmQgmkO8PIyuUr7kp1/ http://blog.capacityacademy.com/2013/06/24/la-diferenciaentre-hacker-cibercriminal/ http://www.matematicas.net/paraiso/cripto.php?id=rsa1 http://www.matematicas.net/paraiso/cripto.php?id=rsa3 https://litecoin.org/es http://www.google.com/wallet/ http://www.ieco.clarin.com/tecnologia/Google-herramientapagar-telefono-celular_0_557944413.html http://www.marisolcollazos.es/noticias-informatica/?p=8492 http://www.eleconomistaamerica.com/telecomunicaciontecnologia-eAm/noticias/4800454/05/13/OEA-alerto-sobreincremento-de-Cibercrimen-en-Latinoamerica.html http://www.eset-la.com/centroamenazas/articulo/ransomware-secuestro-informacion/2311 http://www.vsantivirus.com/cryzip-a.htm http://blogs.eset-la.com/laboratorio/2010/01/08/analisistroyano-lockscreen/ http://www.infospyware.com/blog/el-virus-de-la-policialatinoamericano/#more-3003 http://www.forospyware.com/t453160.html#post2127629 http://www.infospyware.com/blog/ransomware-sgae-y-locked/ http://www.infospyware.com/articulos/cronica-virus-de-lapolicia/(Cronologia de está evolucion) http://mipistus.blogspot.com.ar/2011/08/black-hole-exploitkit-110-inside.html http://www.satinfo.es/blog/tag/virus-de-la-policia/page/3/ http://www.satinfo.es/blog/2013/nueva-variante-de-ransomwinlock-virus-de-la-policia-cazado-por-la-heuristica-delelistara-2/ http://www.satinfo.es/blog/2013/importante-proteccioncontra-el-actual-ransomware-cryptolocker/ http://www.satinfo.es/blog/2013/inminente-peligro-paratodos-los-usuarios-con-el-nuevo-ransomware-cryptolocker/ http://www.taringa.net/posts/apuntes-ymonografias/17161611/Cryptolocker-pide-USD-300-pordesencriptar-tus-archivos.html http://www.omicrono.com/2013/10/cryptolocker-el-malwareque-cifra-tus-archivos-y-tira-la-llave-a-menos-que-pagues/ https://www.osi.es/es/actualidad/avisos/2013/09/criptolockervirus-que-cifra-los-ficheros-del-ordenador http://www.infospyware.com/blog/ransomware-falsomicrosoft-security-essentials/ http://recuperaciondedatos.com.mx/nueva-variante-decryptolocker-pide-usd300-por-desencriptar-sus-archivos/ http://www.infospyware.com/antimalware/polifix/ http://www.pandasecurity.com/argentina/homeusers/support/c ard?id=1675 http://www.clarin.com/internet/Afirman-ciberdelito-rentablepirateria-trafico_0_1023497988.html http://www.mcafee.com/au/resources/reports/rp-quarterlythreat-q2-2013.pdf http://www.mcafee.com/au/resources/reports/rp-quarterlythreat-q3-2013.pdf http://www.mcafee.com/au/resources/reports/rp-quarterlythreat-q1-2013.pdf http://www.backtrack-linux.org/ Mariano Hugo Moure Nacido en Argentina, Ciudad Autónoma de Buenos Aires, en Abril 13, 1988. Actualmente se encuentra en el último año de la carrera de Ingeniería en informática. En su experiencia de trabajo administrando una aplicación web del Banco Santander Rio, como especialista en el área IT del Agencia Digital OneLoop, y en su actualidad realiza desarrollo de páginas web junto con el desarrollo del negocio familiar el cual representa a Tecnofil s.a., empresa peruana de desarrollo de 11 materiales de cobre, junto con la venta de metales no ferrosos.