¿Pagar o no? La situación del ransomware no está mejorando

Un representante del FBI dio una conferencia en la Cumbre de Seguridad Cibernética de Boston en 2015 y dio consejos sobre el ransomware, al cual, el San Francisco Chronicle llamó “inquietante”: él dijo que recomendaba a las víctimas de ransomware pagar el rescate.

Un representante del FBI dio una conferencia en la Cumbre de Seguridad Cibernética de Boston en 2015 y dio consejos sobre el ransomware, al cual, el San Francisco Chronicle llamó “inquietante”: él dijo que recomendaba a las víctimas de ransomware pagar el rescate.

De hecho, Joseph Bonayolonta, un agente especial a cargo del programa de contrainteigencia cibernética del FBI en la oficina de Boston, dio una conferencia sobre el ransomware, donde mencionó varias clases, como el CryptoLocker y CryptoWall, estas son muy difíciles de quebrar, así que es más fácil pagar a los extorsionadores. “Costaría menos” que contratar a alguien que intente arreglar las computadoras descompuestas.

“Siendo honestos, a veces aconsejamos a la gente que simplemente pague el rescate”, dijo Bonavolonta.

Honestidad

Bueno, escuchar esto de un representante de una agencia encargada del cumplimiento de la ley es inquietante, sin duda, además de que muestra que el FBI puede hacer muy poco contra el ransomware. En el mejor de los casos, el FBI o alguna otra agencia arrestarán algún día a los autores del crimen; para ese entonces, las víctimas del ransomware ya habrán pagado los rescates o simplemente abandonado sus archivos comprometidos.

Mientras tanto, poco se puede hacer con los ransomware de encriptación que usan métodos asimétricos, si las claves privadas no están disponibles: matemáticamente implicaría una cantidad tremenda de poder informático para quebrar una llave RSA 2048, que es usada por CryptoWall 3 (de acuerdo a algunas estimaciones, le tomaría un poco más de 6.4 cuadrillones de años a una computadora normal romperlo; eso es más tiempo que lo que los científicos alegan lleva existiendo el universo).

Así que el oficial del FBI ha reconocido un hecho un tanto amargo: a menos que se tomen las debidas precauciones, las víctimas no serán capaces de recuperar su información de otra manera más que pagando el rescate.

Aunque, de nuevo, es realmente desalentador oir algo así de un representante de algún departamento del FBI.

En junio, el FBI dijo que las víctimas de CryptoWall han perdido más de $18 millones de dólares desde principios del 2014. De acuerdo a otras estimaciones, la familia de malware CryptoWall ha sido usada para ganar un total de $325 millones en rescates de miles de víctimas en todo el mundo.

¿Dijiste precauciones?

Sí, existe una manera –la única de la que tenemos certeza- para prevenir pérdidas debido al malware. Y es realizar respaldos de los archivos en “frío” (que no se conecte a internet, que no tenga corriente y sin capacidades computacionales). Si estos respaldos existen, los extorsionadores no podrán hacer nada.

Encriptar archivos toma tiempo y necesita poder para procesar. Nada de eso ocurre en un respaldo offline, así que no es posible la encriptación, eso significa que existe la posibilidad de recuperar la información. Incluso si los archivos maliciosos se cuelan, podrían ser fácilmente identificados y removidos en cuestión de minutos.

Mira nuestras publicaciones anteriores sobre el ransomware [1,2]

Buenas noticias

Las amenazas de encriptación pueden ser muy destructivas, pero, afortunadamente, no todas son invencibles.

Kaspersky Lab, en conjunto con la policía holandesa, han agregado 14,031 claves de descifrado adicionales en el repositorio noransom.kaspersky.com, habilitando a todos los usuarios que han sido víctimas de CoinVault y Bitcryptor para rescatar su información encriptada. Sin tener que pagar un solo bitcoin a los criminales, claro. Bitcryptor es la siguiente versión de malware de los mismos autores con el mismo código en escencia.

CoinVault fue eliminado efectivamente previamente, en otoño, entonces, al hacer estas claves públicas, el caso está cerrado. Dos hombres fueron arrestados por la sospecha de involucramiento en ataques de ransomware; publicamos una historia sobre ello en septiembre.

El resultado del CoinVault es fortuito, pero no siempre es así. Existen cifras sobre campañas de ransomware más ocultas y meditadas, las cuales son más difíciles de quebrar.

Las recomendaciones de Kaspersky Lab pueden ser familiares para muchos, pero eso no les quita lo ciertas:

  • Mantener las soluciones anti malware actualizadas;
  • Las soluciones deben tener capacidades de comportamientos analíticos por el bien de las vulnerabilidades día cero y nuevas amenazas:
  • Mantener todo el software vulnerable (Java, Flash, Office, etc.) actualizado y bajo el mayor escrutinio;
  • Educar a los empleados (el objetivo principal) del phishing, la ejecución de archivos sospechosos y otros temas relacionados con los ransomwares de encriptación.
  • Siempre realizar respaldos de la información.

PD. Por favor mira nuestra pequeña encuesta en Twitter.

Consejos