Allá por diciembre de 2014 publicábamos en este mismo Blog, un artículo sobre un ataque estaba cobrando importancia allá por el mes de diciembre de 2014: Se trataba de un software malicioso (malware) del tipo Cryptolocker / Ransomware que llegaba al usuario mediante un email que pretende venir desde la empresa Correos y Telégrafos, informándonos de un envío al que debemos acceder.
Desgraciadamente este ataque lejos de haberse extinguido o mitigado, sigue de plena actualidad y sigue creciendo en difusión y popularidad: Podemos constatar que durante el mes de abril de 2015 y lo poco que llevamos de mayo, los delincuentes tras este ataque, seguramente, debido a su éxito (están ganando mucho dinero con él) están realizando múltiples campañas dirigidas a empresas, sectores y localidades concretas.
Cryptolocker: Spam de Correos a través del que se propaga
Tras instalarse en el PC del usuario, este malware comenzaba a cifrar (o encriptar) los archivos del PC atacado, usando algoritmos de cifrado de alto nivel, usados en ámbito militar. Tras finalizar este cifrado de los datos, el atacante exije el pago de un rescate para recuperar los datos. Pago, que además debe realizarse mediante Bitcoins o criptodivisas que no dejen rastro legal del dinero. Lo que se llama un secuestro de información.
Lejos quedan ya los virus que lo único que hacían eran “travesuras” en nuestra máquina: Hoy en día esto es un negocio que mueve miles de millones en todo el planeta. Detrás de ello están las mafias y por lo tanto existe una inversión de dinero para conseguir que no sean detectados por los Antivirus y poder llevar a cabo el secuestro de nuestros datos.
¿Y cómo es que los antivirus no detectan la amenaza si no es nueva?
Esta es una pregunta con todo el sentido del mundo que nos hacen muchos partners y clientes: Si ya llevamos meses con el problema, ¿cómo es posible que en lugar de haberse mitigado, el problema esté en plena expansión? – La respuesta es que el problema no es tan sencillo de resolver como identificar «al virus» y bloquearlo: El detalle que lo complica es que no hay un único virus Cryptolocker sino que se conocen miles de variantes incluso algunos de ellos son polimórficos, es decir: se cambian a sí mismos, se «disfrazan»- para evitar que los antivirus puedan reconocerlos y bloquearlos.
El quid de la cuestión está en que este tipo de ataques resulta muy rentable a los delincuentes que lo perpetran: Hay mucha gente pagando el rescate de sus datos. Esto, a su vez, provoca que estos delincuentes inviertan más dinero en perfeccionar su desarrollo para evitar ser bloqueados por los sistemas antivirus / antimalware. No sólo en el malware sino en la difusión, que se realiza igual que las campañas de marketing dirigidas: Sector por sector empresarial; Por zonas geográficas, industrias, etc.
Seguramente estos delincuentes tienen acceso -ilegal, claro está- a bases de datos de buzones de email de diferentes compañías, sobre todo de Pymes, y realizan «emailings» selectivos personalizando en extremo los correos electrónicos que sirven de «cebo». Esto hace que parezcan correos legítimos y originales, que sean muy difíciles de distinguir de correos fraudulentos y que mucha gente «pique» en el enlace.
La realidad es que no. Desgraciadamente el uso de algoritmos de cifrado fuerte y claves RSA hacen imposible recuperar los datos a no ser que se obtenga la clave privada que el ciberdelincuente haya usado para cifrar nuestros datos.
Si buscamos por Internet, veremos algunos reclamos para recuperar los datos, que no son más que otros virus Cryptolocker -o de otro tipo en ocasiones- disfrazados para que los descarguemos y ejecutemos. Hasta la fecha sólo un grupo de hackers de las fuerzas de seguridad Holandesas ha logrado robar la clave privada usada por uno de estos ciberdelincuentes en un ataque muy concreto en Holanda. Todos los demás son malware.
He sido infectado: ¿Y ahora qué?
Si hemos sido infectados desgraciadamente la única forma de recuperar nuestros datos es desde una copia de seguridad siempre que no sea accesible por el ordenador infectado en el momento de dicha infección.
Si hacemos copia de seguridad en una unidad externa o USB
Si esta unidad está conectada en todo momento al equipo infectado y el sistema operativo tiene acceso a todos los archivos en el dispositivo, el Cryptolocker habrá cifrado también los archivos en el USB, por lo que será de poca utilidad. Sin embargo, si tenemos varios dispositivos USB que vamos rotando, podremos recuperarlos del dispositivo que no hubiera estado conectado en el momento de la infección.
Si utiliza dispositivos USB pero hace copia de seguridad con software de Backup que guarde los archivos «offline» y con versionado, como hacen en Windows Cobian Backup, Time Backup de Synology o Time Machine de Apple entonces sus datos a pesar de esto, estarán a salvo dado que usan un formato que -al menos de momento- no es reconocido y cifrado por parte del ransomware.
Si hacemos una copia en servicios Cloud
Si somos usuarios de servicios como Google Drive, Box, SugarSync o Dropbox no nos servirán de mucho, ya que al cifrarse los datos del PC, los archivos se habrán sustituido en la nube por la versión cifrada y los habremos perdido también.
Existe una excepción: Si somos suscriptores del servicio de pago de Dropbox Pro, éste guarda versiones anteriores de todos nuestros archivos durante 30 días por lo que podremos «volver hacia atrás en el tiempo» y recuperar los archivos.
Si hacemos copias en una unidad de red (NAS o Servidor)
Este tipo de malware, si tenemos una letra de unidad asignada al recurso de red, también habrá cifrado los datos del servidor o la NAS, por lo que la única forma de recuperar los datos será tener alguna otra copia externa con versionado. Si seguimos las recomendaciones de tener copias de seguridad fuera de la empresa, y alternar estas copias con una periodicidad semanal, también podremos restaurar los datos de la semana anterior.
¿Y si pagamos el rescate?
Muchas personas pueden verse en un situación muy, muy complicada al perder la información de sus negocios. Por esta razón es comprensible que se pueda valorar el pago del rescate que nos piden. Esto es una decisión que cada uno debe tomar, en función de los daños recibidos y del valor de la información perdida y según la situación concreta de cada cual. En cualquier caso hemos de advertir de que el pago del rescate conlleva varios riesgos:
No hay garantías de que realmente recuperemos nuestros datos tras pagar.
Contribuimos a que las mafias sigan invirtiendo en desarrollar este tipo de malware, ya que se lo hacemos rentable, así que hacemos probable que ocurra más veces en el futuro.
Es complicado: El pago del rescate normalmente se lleva a cabo a partir de monederos de criptomoneda imposible de rastrear por parte de las fuerzas de seguridad. El acceso a estos monederos, transferencia de dinero, etc. no es tan sencilla como una transferencia bancaria. En ocasiones lleva varias semanas darse de alta en alguno de ellos y poder enviar el dinero.
¿Y de cara al futuro qué medidas podemos tomar?
De acuerdo: ya conocemos el problema; ¿Y ahora qué? – Por el momento no existe una única línea de defensa. No obstante podemos adoptar varias medidas para evitar que secuestren nuestros datos, a saber:
Realice Copias de Seguridad automáticas, offline y con versionado de archivos
Evite las unidades de red permanentemente conectadas al PC si no son realmente necesarias
Mantenga actualizado su software de antivirus / antimalware
Esté alerta sobre este tipo de correos y amenazas. Evite los enlaces que descargan o ejecutan programas.
Deshabilite la ejecución automática de programas descargados en su navegador web
¿Qué soluciones aporta Sophos en el futuro inmediato?
Sophos ha desarrollado y va a liberar próximamente durante este mes de mayo de 2015, la funcionalidad «Malicious Traffic Detection» (MTD) en su producto de protección de Endpoint. Dicha funcionalidad se encarga de analizar conexiones de procesos a URLs, para evitar que intenten conectarse a webs maliciosas.
Si puede, proteja su red mediante un Sophos UTM que proteja contra las APTs, o cuente con un potente IDS/IPS que le proteja del tráfico malicioso, evitará que las conexiones del Cryptolocker para conseguir la clave de cifrado tengan éxito, y recibirá alertas de qué PCs de su red están intentando conectar con centros de control de malware, pudiendo de esta manera, mitigar el ataque y limpiar y desinfectar estas máquinas, salvaguardando sus datos.
Si puede, proteja su red mediante un Sophos UTM que proteja contra las APTs, o cuente con un potente IDS/IPS que le proteja del tráfico malicioso, evitará que las conexiones del Cryptolocker para conseguir la clave de cifrado tengan éxito, y recibirá alertas de qué PCs de su red están intentando conectar con centros de control de malware, pudiendo de esta manera, mitigar el ataque y limpiar y desinfectar estas máquinas, salvaguardando sus datos.
