Durante estos últimos años hemos sido testigos de numerosas campañas maliciosas ligadas al ransomware. La cantidad de detecciones y nuevas familias pareciera seguir creciendo en forma constante. Sin embargo, en muchos casos se pierde el foco de la forma que un ransomware podría afectar a los dispositivos infectados. A lo largo de este post recapitularemos sobre el modo de actuar de distintas familias de ransomware analizando también cuales son las más peligrosas.

A continuación, una lista de posibles comportamientos o patrones de estos códigos maliciosos:

1. Bloqueo del sistema

La manera más antigua de actuar es la de extorsionar a la víctima para que realice un pago a cambio de que se levante el bloqueo del sistema. Un ejemplo muy claro es el del malware conocido como “Reveton” o “Virus de la policía que, en el caso de la imagen, se hace pasar por la policía mexicana, pero variara dependiendo del país en el que se encuentre la víctima. En este caso puntual la excusa para extorsionar a la víctima pasa por notificarle en nombre de la policía que deberá pagar una multa por compartir piratería.

2. Cifrado de información

Aplicando conceptos de criptografía avanzada como RSA 2048, la famosa campaña de CTB- Locker fue capaz de cifrar gran cantidad de extensiones de archivos y operar en varios idiomas, asegurándose que la víctima no tendría problemas en comprender el mensaje. Asímismo, explica paso a paso como entrar a la Deep web para hacer el pago de la extorsión.

Como se ve en la imagen, un conteo regresivo del tiempo pondrá los nervios de punta a la víctima.

 

3. Bloqueo y cifrado del sistema

Durante los últimos meses se mencionó mucho a un código malicioso que se parecía a una segunda variante de Petya. Se trata de un ransomware altamente propagado similar a Petya que cifra la información e intenta cifrar también el registro principal de arranque (Master Boot Record), bloqueando de esto modo el sistema operativo.

Otro ejemplo más actual que opera mediante el bloqueo y cifrado del sistema es el ransomware Bad Rabbit. Esta variante es conocida por la gran cantidad de infecciones que realizó, incluyendo al Metro de Kiev.

4. Bloqueo y malware que “habla” para pedir el rescate

¿Un malware parlante? Pareciera una broma, ya que no hablamos de una película de ciencia ficción sino de una amenaza real. Se trata de un miembro de la familia de ransomware Jisut, más específicamente Android/LockScreen.Jisut, el cual demostró recientemente estas “habilidades lingüísticas” al exigir un pago por el desbloqueo del equipo.

 

5. Cifrado y robo de información o billeteras virtuales

Cerber, uno de los ransomware más conocidos, se ha vuelto más dañino al agregar la capacidad de robar billeteras de Bitcoin, además de su capacidad de cifrar los archivos y exigir el pago de un rescate para recuperarlos.

6. Extorsión de fuga de información

En varios medios se han publicado casos donde se infecta a la víctima mediante un código malicioso que extorsiona a víctimas con publicar fotos privadas o íntimas. Sin ir más lejos, la clínica Grozio Chirurgija, ubicada en Lituania fue víctima del robo de 25.000 imágenes y algunos datos privados de los pacientes, tales como el número de pasaporte o incluso la referencia del seguro. Con toda esta información, los ciberdelincuentes trataron de comerciar con ellos para sacar beneficios económicos, pero al no obtener respuesta, decidieron divulgar las fotos privadas en la red.

7. Ransomware PUBG

Una muestra detectada por ESET como MSIL/Filecoder.HD– cifra los archivos y carpetas ubicados “solamente” en el escritorio del usuario y les agrega la extensión .PUBG. Luego, se despliega una imagen en la pantalla que contiene un mensaje de rescate donde se indica que para poder liberar los archivos de la víctima, todo lo que quiere este ransomware benigno es que el usuario dedique una hora a jugar al PlayerUnknown’s Battlegrounds, más conocido como PUBG.

8. Pago con fotos Intimas

Este especial código malicioso llamado nRansom exigue como modo de pago fotos desnudas de la víctima. Independientemente quien sea la victima, nunca será rentable entregar este tipo de información a la Deep web.

9. Ransomware apuntado a IoT

Siendo Android la plataforma más atacadas en dispositivos móviles, no debería sorprendernos que aquellos dispositivos de IoT que comparten un sistema operativo similar también lo sean. En este sentido, para evitar que suceda lo que se observa en la siguiente imagen es recomendable implementar una solución de seguridad en tus dispositivos inteligentes, como tu Smart Tv.

10. Ransomware apuntado a dispositivos móviles o tablets

El ransomware conocido como DoubleLocker es un malware que funciona en dos etapas. En primer lugar, trata de vaciar tu cuenta bancaria o de PayPal, y en una segunda instancia bloquea tu dispositivo e información para solicitar el pago del rescate. La primera vez que vimos una versión de prueba activa de un ransom-banker de este tipo fue en mayo de 2017. Además, DoubleLocker es capaz de cambiar el PIN del dispositivo, evitar que las víctimas accedan al mismo, así como también cifrar la información que se encuentra en él; sin dudas una combinación singular en el ecosistema Android.

 

Conclusión

Como habrás observado, estas familias de códigos maliciosos poseen comportamientos singulares y bien distintos. La dinámica de este tipo de malware pareciera no detenerse en la búsqueda de distintas naturalezas para extorsionar a un usuario infectado. Sin embargo, el modo de protegerse ante estas amenazas sigue siendo la misma. La fórmula de educación y concientización, combinada con soluciones de seguridad (principalmente antivirus y copias de respaldo) es la estrategia más recomendable para intentar lograr que estas amenazas no puedan extorsionarte.