¿ESTÁ PREPARADO PARA EL RANSOMWARE? Carl Leonard Analista Principal en Seguridad

¿ESTÁ PREPARADO PARA EL RANSOMWARE? Una de las innovaciones en amenazas más decepcionantes de la última década ha sido el malware del tipo ‘ransomware’. Inicialmente considerado tan solo una amenaza para los consumidores, actualmente entre sus víctimas se encuentran tanto las redes gubernamentales como las de empresas comerciales. Este informe examina las amenazas técnicas y empresariales que el ransomware continúa representando para las organizaciones que los equipos de seguridad de TI deben estar preparados para enfrentar y superar.

Definición El ransomware hace referencia al malware que exige un pago por ‘un servicio’. Típicamente, ese servicio es el regreso a salvo de los datos o el acceso de un usuario a un dispositivo. Una notificación visible informa al usuario que el acceso a sus datos o a su dispositivo está restringido, y está acompañada de la exigencia de un pago. Una vez efectuado el pago, el ransomware le garantiza al usuario el acceso a sus datos o a su sistema. La simple solución de un pago a cambio de la devolución a la víctima del control y el acceso a sus datos o sistemas apela al deseo de la persona o la organización víctima de “volver a la normalidad lo antes posible”. Un programa de malware ransomware también puede ser llamado criptovirus, criptotroyano o criptogusano. Si bien el malware de borrado de datos y también el criptomalware no son nuevos (tienen antecedentes que se remontan 20 años atrás), el criptoransomware se ha vuelto altamente disruptivo en los últimos años.

Más de un tipo de ransomware Existen 3 tipos principales de ransomware: 1. Scareware: se exige un pago en base a una amenaza de acción futura utilizando tácticas de intimidación. Los archivos o sistemas del usuario no están afectados. 2. Lockers: se hace la promesa de volver a conceder acceso a la pantalla o el sistema del usuario junto con la demanda de pago de una retribución. 3. Criptoransomware: habiendo cifrado los archivos del usuario, el criptoransomware ofrece vender la clave de descifrado a la víctima a cambio de una retribución. El criptoransomware puede afectar archivos locales y archivos hospedados en redes compartidas. Los archivos cifrados que no pueden recuperarse se convierten en un incidente de “destrucción de datos”.

¿ESTÁ PREPARADO PARA EL RANSOMWARE?

1

¿Qué fue lo que promovió el aumento del ransomware? El ransomware funciona como un generador de ingresos para los delincuentes cibernéticos únicamente cuando sus víctimas pagan el rescate. Una creciente concientización de las empresas de la importancia que tienen sus datos ha llevado a más personas y organizaciones a pagar el rescate exigido. El aspecto de monetización del ransomware ahora es factible gracias al sistema de pago Bitcoin, la criptomoneda preferida de los autores de ransomware. Los fondos procesados a través de la criptomoneda son fáciles de transferir y difíciles de rastrear, lo que beneficia al delincuente cibernético y actúa en contra del cumplimiento de la ley. Claramente los delincuentes cibernéticos se están beneficiando con su actividad lucrativa ilegal. Los expertos han estimado que el monto total pagado a autores de ransomware podría ascender a 325 millones (de dólares estadounidenses) para algunas variantes de ransomware. A medida que este caudal de ingresos continúe creciendo, también aumentará la frecuencia de los ataques de ransomware. El ransomware es un fenómeno mundial que afecta a usuarios desde Australia hasta Suecia. Sin embargo, para obtener el máximo impacto, los señuelos se ajustan al idioma local de sus objetivos, o también el ransomware evita deliberadamente afectar a usuarios en determinados territorios. Además, se ha observado que los avisos de ransomware se ajustan al idioma del usuario para facilitar el proceso de pago. Y la cantidad de autores de ransomware está aumentando. La disponibilidad de Ransomwareas-a-Service (ransomware como servicio), y antes de eso los kits de ransomware, han derribado las barreras que impedían el ingreso a los delincuentes cibernéticos motivados.

Métodos de entrega El criptoransomware se disemina a través de adjuntos de correo electrónico (los documentos de Microsoft Office son particularmente populares), programas infectados e infecciones mediante descarga ocultas de malware (drive-by) en sitios web comprometidos. Los autores de ransomware utilizan técnicas de ingeniería social para alentar a los usuarios finales a ejecutar, descargar o hacer clic en contenido malicioso. Después de ejecutarse, el ransomware comienza el cifrado una vez que ha enumerado todos los controladores y buscado los tipos de archivo objetivo. Consejo de Forcepoint Security Labs: Implemente tecnologías de seguridad para defenderse de ataques en vectores de ataque relevantes; en este caso, la web y el correo electrónico. Utilice herramientas de monitoreo y elaboración de informes para detectar y derrotar amenazas entrantes.

¿ESTÁ PREPARADO PARA EL RANSOMWARE?

2

El rol que desempeña la ingeniería social Un componente clave de las tácticas, las técnicas y los procedimientos (TTP) de ransomware es convencer a un usuario final que actúe de manera altamente interactiva. Esta ingeniería social se realiza durante la fase inicial de señuelo (un mensaje de correo electrónico malicioso o un sitio web comprometido) y también durante la fase de demanda de pago (amedrentar al usuario para que pague o darle un incentivo para que lo haga, como prometer la devolución segura de sus archivos ahora cifrados). Consejo de Forcepoint Security Labs: Implemente un programa continuo de educación para el usuario. Alerte a sus empleados sobre los peligros del ransomware y pídales que notifiquen los incidentes en un proceso de incidentes de seguridad probado y bien establecido.

Captura de pantalla del pedido de rescate de Locky:

¿Pagar o no pagar? A los delincuentes cibernéticos les interesa que el pago sea fácil y asequible. Para mantener su caudal de ingresos, los autores de ransomware típicamente han mantenido bajo el precio del rescate (un puñado de Bitcoins). El precio por moneda en Bitcoin (un sistema de pago digital) varía, pero típicamente se calcula que los montos de ransomware son inferiores a 1,000 dólares estadounidenses por demanda. Sin embargo, también se ha sabido de ransomware dirigido que ha exigido pagos de decenas de miles de dólares estadounidenses a algunas organizaciones. Lamentablemente, aunque es de comprenderse, algunas empresas pagan estas exigencias. Ceder a las exigencias del ransomware puede proporcionar alivio a corto plazo y evitar un incidente de destrucción de datos e interrupción de los negocios, pero esto también puede sentar la base para más ataques a nivel global. De manera alternativa, las víctimas podrían elegir no pagar el rescate y aceptar

¿ESTÁ PREPARADO PARA EL RANSOMWARE?

3

el daño (o recuperarse de él), lo cual es mejor desde una perspectiva de ecosistema. Aún mejor, si las víctimas pudieran defender sus datos y sistemas, y de este modo evitar pagar el rescate sin consecuencias, los ataques de ransomware pronto desaparecerían. La decisión de pagar o no pagar debe tener en cuenta una visión equilibrada, como lo explicamos a continuación. Consejo de Forcepoint Security Labs: La Oficina Federal de Investigación (FBI) de los Estados Unidos inicialmente sugirió que las víctimas de ransomware no deben pagar el rescate exigido. Este consejo posteriormente fue modificado, y ahora sugiere que el pago del rescate es una opción. Coincidimos en que pagar es siempre una opción, pero no garantiza la recuperación exitosa de los archivos cifrados ni tampoco garantiza que el autor de ransomware no volverá. Factores tales como: la disponibilidad de los servidores de comando y control donde se hospeda la clave de descifrado, la ausencia de errores en la rutina de descifrado y la honestidad de los delincuentes cibernéticos, influyen en la recuperación exitosa de los archivos bloqueados. Recomendamos las siguientes acciones: 1. Establezca un proceso de copia de seguridad de datos probado, confiado y evaluado (preferentemente fuera de línea) en toda su organización. Esto puede permitir la recuperación de sus archivos sin pagar un rescate. 2. Eduque a los usuarios para que no abran adjuntos desconocidos o extraños que reciben en mensajes de correo electrónico ni hagan clic en hipervínculos desconocidos. Proporcione a los usuarios finales un proceso de notificación de incidentes de ransomware. 3. Determine si hay puntos débiles en su infraestructura o procesos que puedan ser aprovechados por tácticas de ransomware y busque fortalecer esas brechas. 4. Considere la posibilidad de que el pago de un rescate para recuperar datos sería mejor utilizado en invertir en medidas de seguridad más efectivas para evitar incidentes similares en el futuro (como educación para los usuarios y entorno seguro de URL y archivos).

Variantes de ransomware analizadas por Forcepoint Security Labs El desarrollo de familias de ransomware es incesante, y constantemente se descubren mejoras o nuevas familias en actividad. Una pequeña selección de las muchas familias de ransomware analizadas por Forcepoint Security Labs incluye: Cerber: previamente distribuido a través de kits de explotaciones y adjuntos de correo electrónico maliciosos, Cerber se diseminaba a través de archivos Windows Script (WSF) dentro de adjuntos doblemente comprimidos en la primera mitad de 2016. CryptoLocker: considerada la variante de ransomware “original” de la cual se generaron muchas variantes, CryptoLocker apareció por primera vez en 2013. Los esfuerzos de cumplimiento de la ley terminaron con la campaña un año después.

¿ESTÁ PREPARADO PARA EL RANSOMWARE?

4

CryptoWall: nuestro estudio de 2015 determinó que el sector de atención de la salud tiene 4.5 veces más probabilidades de ser afectado por CryptoWall que otras industrias. La última versión de CryptoWall escoge nombres de archivos de manera aleatoria y cifra la mayoría de los documentos que se encuentran en la máquina. CTB-Locker: esta variante se destaca porque no necesita conectarse a un servidor de comando y control para cifrar archivos. CryptXXX: dado que se está convirtiendo en un ransomware típico, brinda instrucciones de pago accesibles a través de la red TOR. Jigsaw: hace referencia a películas de terror para intimidar a los usuarios finales para que paguen el rescate. Locky: cambia la extensión de los archivos cifrados a .locky. Se utiliza un algoritmo de generación de dominio (DGA) para cambiar los URL de comando y control a los que se tiene acceso en un determinado día. Teslacrypt: esta variante aumenta la resistencia al terminar cualquier proceso que puede utilizar un usuario final al intentar deshabilitar el ransomware. TorrentLocker: hospedaba señuelos maliciosos en sitios web legítimos comprometidos.

Forcepoint Security Labs contraataca el ransomware El equipo de Investigaciones Especiales de Forcepoint Security Labs investigó cómo evitar el cifrado de archivos y compartir ese conocimiento con la comunidad en general. Si bien no todo el ransomware necesita conectarse a un servidor de comando y control para cifrar archivos (p. ej., CTB-Locker), la familia del ransomware Locky sí lo hace. Utilizamos a Locky como un caso de estudio y realizamos la ingeniería inversa de su algoritmo DGA. El DGA calcula a qué dominios se conectará Locky cada día. Después de poner el DGA a disposición del público, los autores de malware modificaron el DGA en 4.5 días. Realizamos la ingeniería inversa del segundo DGA y también lo hicimos público. Esta vez los autores de malware demoraron 18 días en actualizar su algoritmo por segunda vez. Elegimos este enfoque para poder estudiar los patrones de trabajo de los autores de malware y permitirles a las organizaciones predecir con precisión y, de este modo, bloquear el proceso de cifrado de archivos. Esto tuvo el efecto neto de afectar el caudal de ingresos de los autores de malware. Consejo de Forcepoint Security Labs: En https://blogs.forcepoint.com/security-labs/locky-ransomwareencrypts-documents-databases-code-bitcoin-wallets-and-more y https://blogs.forcepoint.com/securitylabs/lockys-new-dga-seeding-new-domains se pueden encontrar más detalles de nuestro análisis del algoritmo de generación de dominio.

¿ESTÁ PREPARADO PARA EL RANSOMWARE?

5

Opciones de protección Para combatir el ransomware, es importante sacar provecho de todas las pistas que pueden revelarse en el ciclo de vida de una amenaza o ‘cadena de avance de un ataque’, y aplicar las tecnologías de defensa apropiadas en cada etapa. Como hemos examinado, el ransomware se disemina inicialmente a través de adjuntos maliciosos de correo electrónico, sitios web comprometidos y sitios web que ofrecen publicidades maliciosas (malvertisements). Existen oportunidades para derrotar el ransomware en las primeras etapas del ciclo de vida de una amenaza, antes de que los usuarios finales estén expuestos al mecanismo de entrega inicial y antes de que se cifren los archivos. Forcepoint Security Labs traza un mapa de las amenazas, incluido el ransomware, en las 7 etapas de su ciclo de vida:

Reconocimiento

Señuelo

Redirección

Kit de explotaciones

Archivo dropper

Llamada “a casa”

Robo de datos

Reconocimiento: el ransomware sigue un enfoque abarcador, y es distribuido por botnets y sitios web comprometidos. En ocasiones, un atacante identifica una organización que cree que valora mucho sus datos y posteriormente la ataca. Señuelo: la combinación del conocimiento de las amenazas en los vectores de ataque de la web y el correo electrónico puede reducir la exposición a mensajes de correo electrónico maliciosos cargados de malware, malvertising, phishing y otros tipos de amenazas. Redirección: las redirecciones se utilizan para llevar a los usuarios finales a otras áreas de la web a través de iframes, por ejemplo. Interceptar un ataque en esta etapa puede evitar la ejecución de una explotación. Kit de explotaciones: Forcepoint Security Labs rastrea los kits de explotaciones y sus tácticas de entrega para mitigar ataques en esta etapa. Archivo dropper: Forcepoint aplica nuestras soluciones antimalware de varios niveles y el entorno seguro conductual para identificar la naturaleza maliciosa de las variantes del ransomware. Llamada “a casa”: interceptar la transmisión de una llamada “a casa” puede evitar que algunas variantes de ransomware cifren los archivos del usuario. Robo de datos: un incidente de criptoransomware es un incidente de “destrucción de datos”. La detención de la amenaza en las primeras etapas reduce la probabilidad del cifrado.

¿ESTÁ PREPARADO PARA EL RANSOMWARE?

6

Consejo de Forcepoint Security Labs: Su cartera de productos de seguridad y sus métodos de análisis deben combinar la información del correo electrónico y de la web para un mejor reconocimiento contextual. Además, la visibilidad y la protección en todo el ciclo de vida de una amenaza ayudarán a intensificar los obstáculos que los autores de malware deben sortear, y también mejorará su fortaleza contra un ataque.

Reduzca el riesgo de ransomware En vista del riesgo que representa el ransomware, le sugerimos que tenga en cuenta las siguientes recomendaciones:

1. Asegúrese de que su plan existente de respuesta a incidentes pueda reaccionar ante un incidente de ransomware. 2. Implemente un programa de reconocimiento de seguridad continuo para los empleados, con consejos sobre mejores prácticas. 3. Ponga en ejecución procesos probados y evaluados de respaldo y recuperación. 4. Elimine el uso de derechos de administración donde sea posible. 5. Implemente un programa de administración de privilegios para eliminar los privilegios innecesarios de acceso a los datos y minimizar de este modo los datos en riesgo. 6. Implemente controles en los puntos de salida de la red.  Reglas de firewall para bloquear el tráfico de comando y control, y también neutralizar las técnicas de evasión que se pueden utilizar para entregar cargas maliciosas.  Controles avanzados de protección contra amenazas, que incluyen entorno seguro, para proporcionar una defensa contra ataques de día cero y otras técnicas de malware altamente evasivas.  Soluciones de seguridad web para bloquear destinos desconocidos(no categorizados) y realizar un análisis en tiempo real del contenido en la web.  Soluciones de seguridad de correo electrónico para bloquear las amenazas que ingresan al correo electrónico. 7. Implemente controles en dispositivos finales, en especial para usuarios remotos e itinerantes.  Mantenga el antivirus actualizado.  Implemente una herramienta para dispositivos finales para bloquear las aplicaciones maliciosas.  Implemente seguridad web para dispositivos finales que están fuera de la red.  Tenga en cuenta utilizar análisis del comportamiento de los usuarios (UBA) para identificar y bloquear la actividad sospechosa en dispositivos finales clave, incluso cuando operan fuera de la red. 8. Si bien el éxito no está garantizado, examine herramientas o servicios de descifrado de terceros que pueden ser necesarios en caso de que fallen otros controles. A medida que crezca el número de organizaciones que utilicen más mecanismos de protección, la rentabilidad del ransomware disminuirá; comparta sus “mejores prácticas” y las “lecciones aprendidas” con su red de profesionales.

¿ESTÁ PREPARADO PARA EL RANSOMWARE?

7

Conclusiones Mientras el ransomware siga siendo rentable, los atacantes continuarán perjudicando y dañando a las organizaciones en todo el mundo, y éstas continuarán pagando el rescate por sus datos amenazados para evitar la destrucción de los mismos e incidentes de interrupción de los negocios. En última instancia, una buena estrategia de respaldo es la red de seguridad que sustenta una estrategia de mitigación más completa que combina los vectores de ataque en la web y el correo electrónico. Es esencial sintetizar la información en todos los medios de ataque utilizados por el ransomware para lograr el éxito a largo plazo de las defensas contra éste y muchos otros ataques.

Tecnologías de protección contra amenazas de Forcepoint Ofrecemos a nuestros clientes protección contra el ransomware a través de las 8 áreas de evaluación de amenazas de TRITON® ACE. TRITON ACE mejora sus defensas contra amenazas mediante la identificación y clasificación de la información que pasa por su red para proporcionar calificaciones de seguridad en tiempo real de todos los productos construidos sobre la arquitectura Forcepoint TRITON. Las ocho áreas de evaluación de amenazas y el proceso exclusivo de calificación compuesta de ACE permiten que las soluciones TRITON APX brinden protección contra amenazas emergentes, incluidos los ataques de día cero más avanzados y los ataques dirigidos avanzados y, al mismo tiempo, mejoren la productividad y el cumplimiento a través de una sólida visibilidad del contenido saliente y controles de contención. El sanboxing es una de las tecnologías que utiliza TRITON ACE para brindar controles de protección y visibilidad del comportamiento del ransomware. Los informes de análisis sanboxing pueden respaldar un programa de respuesta ante incidentes y también un programa de educación para usuarios. TRITON ACE es la razón por la cual nadie puede detener más amenazas que Forcepoint. TRITON ACE es mantenido por los investigadores de Forcepoint Security Labs y es el poder que respalda nuestras soluciones integradas de seguridad web, de correo electrónico y de datos. Cada segundo de cada día, ThreatSeeker™ Intelligence Cloud de Forcepoint™ recorre la vasta extensión del contenido en línea en busca de amenazas potenciales. Es un desafío formidable, pero ciertamente ThreatSeeker está a la altura de las circunstancias. Recibe información global de más de 155 países, y trabajando en paralelo con TRITON ACE analiza hasta 5 mil millones de solicitudes por día. ThreatSeeker también sirve para distribuir información de inteligencia sobre amenazas a las soluciones TRITON en todo el mundo, que el año pasado generaron una tasa promedio de 3.2 piezas de información de inteligencia sobre amenazas por segundo. Para sacar provecho de la investigación sobre el ransomware y otras amenazas, lea nuestro blog en https://blogs.forcepoint.com/

Forcepoint™ es una marca comercial de Forcepoint, LLC. SureView®, ThreatSeeker® y TRITON® son marcas registradas de Forcepoint, LLC. Raytheon es una marca registrada de Raytheon Company. Todas las demás marcas y marcas registradas son propiedad de sus respectivos dueños. [FP-Labs-Ransomware-Report-11July2016]

¿ESTÁ PREPARADO PARA EL RANSOMWARE?

8