Llegamos a ustedes gracias a:



Reportajes y análisis

Ransomworm: El siguiente nivel de maldad en ciberseguridad

El 2017 podría ver las innovaciones más malignas de ransomware.

[30/01/2017] Como si la celebración de su rehén de datos y la búsqueda de pago en efectivo no fueran lo suficientemente duras, los expertos en seguridad prevén que la siguiente etapa de ransomware será aún peor.

Scott Millis, director de tecnología de la empresa de seguridad móvil de Cyber asAPT, espera que el ransomware se salga de control este año. Esa es una afirmación sorprendente si se considera que hubo más de cuatro mil ataques ransomware diarios en el 2016, según el grupo de Respuesta de Seguridad de Symantec (Informe).

Corey Nachreiner, director de tecnología de WatchGuard Technologies, predice que este año verá el primer ransomworm, causando que el ransomware se extienda aún más rápido.

Crypto-ransomware es un tipo de ransomware que cifra los archivos y los mantiene en cautividad hasta que se cumplan las demandas de rescate. Desde el lanzamiento de cryptolocker a finales del 2013, Crypto-ransomware ha despegado. Según el FBI, los criminales cibernéticos utilizaron ransomware para robar más de 209 millones de dólares de negocios de Estados Unidos solamente, solo en el primer trimestre del 2016. Además, un reciente informe de ransomware de Trend Micro muestra 172% más ransomware en la primera mitad del 2016 que en todo 2015.

"En resumen, se dan cuenta de los chicos malos de ransomware hacen dinero, y se puede esperar que se duplique en el 2017", añade.

Para empeorar las cosas, Nachreiner espera que los cibercriminales mezclen ransomware con un gusano de red. Hace años, los gusanos de red como CodeRed, SQL Slammer, y más recientemente, Conficker, eran bastante comunes. Los hackers explotan las vulnerabilidades de la red y los trucos para que el malware se propague automáticamente a través de las redes.

"Ahora, imagínese el ransomware unido a un gusano de red. Después de infectar a una de las víctimas, se copiaría sin descanso en todas las computadoras de la red local que pueda alcanzar", anota. "Independientemente de si quiere imaginar un escenario tal, le garantizo que los ciberdelincuentes ya están pensando en ello".

Nir Polak, co-fundador y CEO de Exabeam, un proveedor de análisis de comportamiento de los usuarios y la entidad, está de acuerdo en que el ransomware se moverá de un asunto de una sola vez a un problema de la infiltración de red como describe Nachreiner. "Ransomware ya es un gran negocio para los hackers, pero los ransomworms garantizan la repetición. Se cifran sus archivos hasta que pague, y peor aún, dejan presentes para asegurarse de que sus infecciones sobrevivan", anota Polak.

A principios del año pasado, Microsoft advirtió de un llamado ransomworm ZCryptor que se propagó en las unidades extraíbles. Al colocar un código en cada unidad USB, los empleados aportaban algo más que sus presentaciones a una reunión de ventas; llevaban un ransomworm -no es la mejor impresión que quiere dar a un cliente potencial.

Alex Vaystikh, veterano de la seguridad cibernética y co-fundador/director de tecnología de avanzada en el proveedor de software de detección de amenazas SecBI, piensa de forma similar. Dice que el ransomware se convertirá en más inteligente y se fusionará con el malware que roba información, que primero extraerá información y luego la cifrará selectivamente, ya sea bajo demanda o cuando otros objetivos hayan sido alcanzados o sean inalcanzables. Aunque ransomware es una manera extremadamente rápida para recibir el pago como un estafador/hacker, si también es capaz de robar primero algo de información antes de encriptar el dispositivo, puede esencialmente entrar ilegalmente en él dos veces.

"En este escenario, si la víctima dice, '¿Sabe qué? Tengo archivos de copia de seguridad'" y se niega a pagar por el descifrado, el hacker puede amenazar con desechar todo. Oímos hablar de ransomware siendo utilizado en entornos sensibles como en los hospitales, pero hasta el momento no ha habido daños significativos. Sin embargo, si el malware se hubiera infiltrado primero en la información del paciente y luego la hubiera encriptado, podría haber sido extremadamente perjudicial", anota Vaystikh.

Norman Guadagno, evangelista jefe de Carbonite, señala que el ransomware como un servicio (RaaS, por sus siglas en inglés) continuará ganando puntos de apoyo. El modelo de negocio RaaS es extremadamente atractivo, dado el mínimo esfuerzo y bajo costo necesario para lanzar un ataque. Esto no requiere una tecnología altamente sofisticada, un experto en TI con conocimientos o incluso una cuenta bancaria grande como para despegar. Todo lo que necesita es una lista de correo de posibles objetivos y RaaS hace el resto como una ventanilla única para piratear recursos.

"Dado el éxito de estos hackers hasta ahora -un negocio de mil millones de dólares solamente en el 2016- no hay duda de que RaaS seguirá ganando tracción. Afortunadamente, al igual que la nube permite RaaS, también permite la copia de seguridad de nube segura para protegerse contra los ataques", anota.

Lucas Moody, CISO de Palo Alto Networks, añade que el ransomware no va a desaparecer. Se ha preguntado ¿qué controlador económico ha dado lugar a la explosión de cajeros automáticos Bitcoin en los barrios ricos en los EE.UU.? Su impresión es que se correlaciona con el número de infecciones ransomware que afectan a las pequeñas empresas. Ransomware en el año 2016 fue un problema importante, y las tendencias actuales sugieren que este problema no se ralentizará en este 2017. La capacidad de recuperación son la mejor defensa para evitar viajes frecuentes a su local de Bitcoin ATM, indica.

Vaystikh también prevé el primer ransomware enfocado en centro de datos en la nube. Este año, el ransomware se dirigirá a las bases de datos, haciendo que el tiempo de inactividad sea significativo. Actualmente no hay muchos hackers que ataquen las redes corporativas con ransomware; la que roba información de malware es la herramienta preferida, señala.

"Pero lo que podríamos ver este año es que el ransomware apunte a lugares donde hay menos posibilidades de hacer copias de seguridad. Por ejemplo, creo que vamos a ver que pequeñas y medianas empresas que mueven sus archivos a la nube, generalmente no tienen copias de seguridad y no saben cómo recuperarlas. Específicamente el cifrado de datos basados en la nube como ésta, tendría un impacto significativo sobre los proveedores de nube y de las infraestructuras en la nube", finaliza.