Pregunta al experto: Jornt van der Wiel habla sobre ransomware

Jornt van der Wiek es un miembro del equipo GreAT, el equipo de investigación y análisis global de KL, y nuestro mayor experto en ransomware y criptografía. En esta entrada responderá a varias de las preguntas que habéis hecho.

Jornt van der Wiek es un miembro del equipo GreAT, el equipo de investigación y análisis global de KL, y nuestro mayor experto en ransomware y criptografía. Vive en los Países Bajos y lleva más de dos años trabajando en Kaspersky Lab.

Ofrecimos la oportunidad a nuestros lectores de hacer a Jornt cualquier pregunta que tuvieran sobre ransomware y cifrado y el nivel de respuesta fue increíble. De hecho, eran tantas las preguntas para publicar en una sola entrada del blog que hemos decidido dividirlas en dos grupos. En esta entrada, Jornt responderá preguntas relativas al ransomware y, en la próxima, lo hará sobre criptografía.

¿Crees que el ransomware nos preocupará más en el futuro en comparación con otras categorías de malware como los virus clásicos y los troyanos?

Sí, por supuesto. Estamos viendo un alza en el descubrimiento de nuevas familias y en intentos de infección sobre los usuarios. La amenaza se agranda por días y es porque, principalmente, el ransomware es fácil de monitorizar. Un delincuente infecta a alguien, la víctima paga y, una vez realizado el pago, esta recibe las claves para descifrar sus archivos. No hay ningún otro tipo comunicación adicional u otro tipo de interacción. No como con el malware bancario, por ejemplo, que requiere que los delincuentes hablen con sus víctimas por chat.

¿Como puedo evitar que me infecte un malware?

  • Instala siempre las últimas actualizaciones para tu software.
  • No hagas clic en enlaces o en adjuntos de e-mails sospechosos.
  • Activa las extensiones de archivo en Windows (así podrás ver si la extensión de un archivo es, por ejemplo, factura.pdf o factura.pdf.exe).
  • Ten tu solución antivirus actualizada y configurada con los análisis heurísticos activados.
  • Y, para cuando algo salga mal, ten copias de seguridad. Guardalas offline o en la nube con la versión de control ilimitada. Así, si tus archivos son cifrados y en disco, el cual se sincroniza con la nube, podrás recuperar la última versión sin cifrar.

Como persona individual, ¿soy más vulnerable que una compañía ante el malware?

El ransomware tiene en el punto de mira a todos. A veces tiene compañías específicas en su punto de mira, pero en la mayoría de casos vemos que el spam masivo funciona para infectar a cualquiera. Por otra parte, las grandes compañías no quieren pagar los rescates y normalmente tienen copias de seguridad. Las pequeñas compañías a veces son más propensas a pagar el rescate porque puede que la copia de seguridad cueste más que el rescate.

¿Cuándo es posible descifrar los archivos que han sido cifrados con un ransomware?

Es posible en los siguientes casos:

  • Los autores del malware cometen un error que posibilita la ruptura del cifrado. Ese fue el caso de los ransomware Petya y CryptXXX. Por desgracia, no puedo darte una lista de los errores que cometen porque les ayudaría a no cometerlos de nuevo. Pero, en general, no es tan fácil cifrar de forma correcta. Si quieres saber más sobre cifrado y sobre los errores que se pueden cometer, te aconsejo que busques los ejercicios de Matasano crypto challenges.
  • Los autores del malware se sienten mal y publican las claves o la clave maestra como ocurrió con TeslaCrypt.
  • La agencias de seguridad tienen un servidor en el que almacenan las claves y las comparten. El año pasado, al utilizar las claves de la policía holandesa, creamos una herramienta de descifrado para las víctimas de CoinVault.

A veces, pagar el rescate funciona, pero no hay garantías de que con el pago se descifren los archivos. Además, si pagas, estás apoyando el modelo de negocio de los delincuentes y, por tanto, eres responsable de que cada vez se infecte a más personas.

En las instrucciones para ocuparse de CryptXXX, decís que además del archivo cifrado, también se necesita el archivo descifrado. ¿De qué sirve el software entonces? Si tuviera los archivos descifrados, no necesitaría vuestra herramienta…

Una pregunta muy buena, gracias por hacerla. En el futuro tendremos que ser más claros. Este ransomware cifra todos tus archivos con la misma clave. Así que, digamos que te ha cifrado 1 000 archivos y de ellos solo tienes una copia de un archivo original guardada en alguna parte (una foto enviada por e-mail, por ejemplo). Si introdujeras dicho archivo en nuestra herramienta, podremos calcular la clave de descifrado para así descifrar tus otros 999 archivos. Pero necesitas ese archivo original.

¿El malware criptográfico es el único tipo de ransomware?

No, también existe un tipo de ransomware cuya finalidad es bloquear ordenadores, aunque suele ser fácil evitarlo o eliminarlos y por eso es menos popular hoy en día. Si quieres saber más sobre el ransomware de bloqueo y los métodos para combatirlo, échale un vistazo a esta entrada de nuestro blog al respecto.

Por lo que veo en la prensa internacional, hablar sobre el problema del ransomware es como el juego del perro y el gato. Si encuentras una solución, tus oponentes tratarán de sortearla. ¿De verdad es así?

No tanto. Nuestro componente System Watcher, el cual vigila el comportamiento de los procesos en ejecución, puede detectar muchos de los nuevos ataques de ransomware que encuentre, incluso los del ransomware todavía desconocido. Vale, hay pocas veces en que nuestro System Watcher no los detecta. Entonces lo que hacemos es introducir una nueva firma de comportamiento que localice el nuevo tipo de ataque. Pero, repito: esto es muy inusual.

Los delincuentes piden el rescate en bitcoins, moneda difícil de rastrear. ¿Es posible rastrear a esos delincuentes y pillarlos?

La verdad es que rastrear una transacción con Bitcoin no es complicado ya que estas se registran en la cadena de bloques. Esta es la naturaleza de Bitcoin, por lo que cualquier transacción puede ser rastreada. Lo que no se sabe es quien hay al otro lado de la transacción. Así pues, las agencias de seguridad pueden rastrear cualquier transacción hacia un monedero, pero deben descubrir a quién pertenece este.

Los servicios de mixing de Bitcoin han aparecido para frustrar los intentos de rastreo. Ten en cuenta que que estos servicios son máquinas en las que se depositan muchos bitcoins y luego estos se intercambian muchas veces entre los propietarios, dificultando el rastreo. Por ejemplo, soy una víctima y he de pagar un bitcoin a un monedero; lo hago y dicho bitcoin va a parar a un servicio de mixing que intercambia este bitcoin con el de otra persona. Por consiguiente, no sabemos qué bitcoin rastrear. Y como te imaginarás, esto sucede a menudo.

Se han realizado varias investigaciones al respecto (en Google podrás encontrar muchas) y a veces el rastreo es posible. En resumen, a veces se pueden rastrear las transacciones hasta un monedero, pero no es fácil y, aunque se encuentre el monedero, el sistema de intercambio del bitcoin debe trabajar con las fuerzas de la ley para revelar las credenciales del propietario del monedero.

¿Cuántos años se tardó en descubrir CoinVault y en encontrar a sus creadores?

La historia de CoinVault básicamente empezó cuando Bart de Panda Security tuiteó que había encontrado muestras adicionales de CoinVault. Resultó que dos de ellas no eran CoinVault, pero estaban relacionadas con él. Decidimos escribir una entrada en el blog sobre el tema y crear una cronología sobre la evolución de CoinVault. Cuando teníamos el 90 % de la entrada, se la enviamos a la brigada británica de crímenes tecnológicos (NHTCU por sus siglas en inglés).

Cuando finalizamos la entrada, encontramos algunos indicios que nos llevaron a dos posibles sospechosos. Naturalmente, compartimos la información con la NHTCU. Como mucho transcurrió un mes entre el tuit de Bart y nuestro hallazgo, pero claro, no estuvimos todo ese tiempo trabajando en la entrada del blog, también teníamos trabajo no relacionado con CoinVault. Tras la publicación de la entrada, la NHTCU tardó como medio año más en montar un caso sólido y los delincuentes fueron finalmente arrestados en septiembre del último año.

¿Cuánto dinero ganan los ciberdelincuentes con el ransomware?

Una muy buena pregunta, pero es un poco difícil de responder. Solo podemos saberlo con seguridad cuando somos capaces de rastrear, por ejemplo, todas las transacciones de bitcoin hacia un monedero. O cuando la policía se infiltra en un servidor de mando y control que contiene la información del pago. Pero para que te hagas una idea, digamos que un delincuente es capaz de infectar a 250,000 personas (una aproximación si hablamos de grandes campañas). Y supongamos que solo piden unos 180 euros por el descifrado (la media real son unos 360 euros). Si solo paga el 1 % de las víctimas, la ganancia es de unos 456,000 euros.

¿Es posible se propague el malware de un PC infectado por su red local hacia otros ordenadores que tengan el mismo sistema operativo? ¿Puede afectar un mismo malware a diferentes sistemas operativos?

Para la primera parte de la pregunta: si el ransomware tiene habilidades de gusano, podrá propagarse por la red. Por ejemplo, Zcryptor y SamSam son dos familias de ransomware que cuentan con estas capacidades.

Para la segunda parte de tu pregunta: sí que es posible que un solo ransomware infecte múltiples sistemas operativos si este tiene como objetivo los servidores web. Así que, por ejemplo, el ransomware podría tener como objetivo un servidor que funciona con una gestión de contenidos escrita en PHP. El ransomware podría entonces infectar un ordenador con Windows que tenga un navegador web con PHP instalado. Y luego podría examinar otros lugares de Internet para buscar otros ordenadores a los que infectar. El próximo ordenador podría ser Linux, pero este debe contar con un navegador web PHP. En resumen, la respuesta es: Sí, existe ransomware multiplataforma.

La semana que viene publicaremos las respuesta de Jornt a preguntas relacionadas con la criptografía. ¡Estad atentos!

Consejos