Los cibercriminales están aprendiendo unos de otros. Toma como ejemplo el TeslaCrypt. Es una familia de ransomware relativamente nueva, detectada por primera vez en febrero de 2015. La característica más notable en las primeras versiones de TeslaCrypt fue que el malware no solo se dirigía a un mismo tipo de archivos, incluyendo documentos, imágenes y videos, sino también a archivos de juegos. Para entonces el malware ya estaba muy débil debido a un par de fallas técnicas.
A pesar del hecho de que los creadores de malware asustaron a sus víctimas con el algoritmo aterrador RSA-2048, en realidad el cifrado no era tan fuerte. Además, durante el proceso de cifrado, el malware almacenaba claves de cifrado en un archivo dentro del disco duro de la computadora de su víctima, haciendo posible el almacenamiento de la clave, interrumpiendo la operación del cifrado o la extracción de la clave antes de que el área respectiva del disco fuera sobrescrita.
Pero como mencioné antes, los criminales están aprendiendo. En la versión de TeslaCrypt 2.0, descubierta recientemente por los investigadores de Kaspersky Lab, los creadores de malware implementaron algunas características nuevas para prevenir el descifrado de archivos robados y el descubrimiento de servicios de comando y control de malware.
The best line of #defense against any #ransomware is to have backed up your machines yesterday. https://t.co/cpcBqX1Qy2
— Kaspersky (@kaspersky) January 30, 2015
En primer lugar, adoptaron el algoritmo sofisticado de cifrado de curva elíptica de los creadores del famoso y problemático ransomware llamado CTB-Locker. En segundo lugar, cambiaron el método de almacenamiento de claves: ahora están utilizando el registro del sistema en lugar de un archivo en el disco.
En tercer lugar, el creador de TeslaCrypt robó el sitio web que las víctimas ven después de que sus archivos han sido cifrados por otra familia de ransomware llamada CryptoWall. Aunque claro, todas las credenciales de pago se cambian, pero el resto del texto, el cual es muy efectivo desde el punto de vista de la “venta”, está copiado tal cual. Por cierto, el rescate es muy caro: alrededor de $500 dólares con su valor actual.
El malware de la familia TeslaCrypt es conocido por ser distribuido utilizando herramientas exploit como Angler, Sweet Orange y Nuclear. Este método de distribución de malware funciona de la siguiente manera: cuando una víctima visita el sitio web infectado, el código malicioso de un exploit utiliza las vulnerabilidades del navegador (por lo general en plugins) para instalar el malware en el sistema que tiene como objetivo.
Ransomware #TeslaCrypt 2.0: más fuerte y más complicado
Tweet
Los países más afectados son Estados Unidos, Alemania, Reino Unido, Francia, Italia y España. Los productos de Kaspersky Lab detectan malware de la familia TeslaCrypt, incluyendo la versión más reciente, mencionada anteriormente como Trojan-Ransom.Win32.Bitman. Así nuestros usuarios no corren riesgos.
Nuestras recomendaciones para contratacar ésta y otras familias de ransomware, son las siguientes:
- Crea copias de seguridad de manera regular de todos tus archivos importantes. Las copias deben almacenarse en dispositivos que se puedan desconectar en cuanto se termine de hacer la copia de seguridad. Esto último es importante, ya que el TeslaCrypt y otros tipos de malware cifran los dispositivos conectados y carpetas de red, al igual que al disco duro local.
- Es muy importante que actualices tu software en el momento oportuno, especialmente el navegador web y sus plugins.
- En caso de que un programa malicioso aterrizara en tu sistema, la mejor manera de atacarlo sería con la última versión de un software de seguridad con bases de datos actualizadas y módulos de seguridad activados.