CryptoLocker

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 16 de febrero de 2021; las comprobaciones requieren 3 ediciones .
CryptoLocker
Tipo de troyano , ransomware
Año de aparición 5 de septiembre de 2013
Descripción de Symantec

El ataque del ransomware CryptoLocker fue un ataque cibernético que utilizó el ransomware CryptoLocker que ocurrió entre el 5 de septiembre de 2013 y finales de mayo de 2014. El ataque usó un troyano que infecta las computadoras que ejecutan el sistema operativo Microsoft Windows [1] , y se cree que se publicó por primera vez en Internet el 5 de septiembre de 2013 [2] . El troyano se propaga a través de archivos adjuntos de correo electrónico infectados, sitios web infectados y una red de bots existente en la computadora del usuario . Cuando infecta una computadora, el malware encripta ciertos tipos de archivos almacenados en unidades de red locales y mapeadas usando el criptosistema de clave pública RSA , con la clave privada almacenada solo en los servidores de control de malware. Luego, el malware muestra un mensaje que ofrece descifrar los datos si se realiza un pago (a través de Bitcoin o un cupón de efectivo prepago) dentro del límite de tiempo especificado, y se amenaza al usuario con la eliminación de la clave privada si expira el límite de tiempo. Si no se cumple este plazo, el malware ofrece descifrar los datos a través de un servicio en línea proporcionado por los operadores del malware por un precio significativamente más alto en bitcoins, sin garantía de que el pago conduzca al descifrado del contenido.

Si bien CryptoLocker en sí se puede eliminar fácilmente, los archivos afectados permanecieron encriptados de una manera que los investigadores consideraron imposible de descifrar. Muchos creen que no se debe pagar el rescate, pero no ofrece ninguna forma de recuperar los archivos; otros argumentan que pagar un rescate es la única forma de recuperar archivos que no se guardaron a través de una copia de seguridad . Algunas víctimas han afirmado que pagar el rescate no siempre conduce al descifrado de los archivos.

CryptoLocker fue aislado a fines de mayo de 2014 como resultado de la Operación Tovar , y al mismo tiempo también fue capturada la botnet Gameover ZeuS , que se usaba para distribuir malware. Durante la operación, una empresa de seguridad involucrada en el proceso obtuvo una base de datos de claves secretas utilizadas por CryptoLocker, que a su vez se utilizó para crear una herramienta en línea para recuperar claves y archivos sin pagar un rescate. Se cree que los operadores de CryptoLocker han obtenido con éxito, en total, unos 3 millones de dólares de las víctimas de troyanos. Otras instancias del siguiente ransomware han usado el nombre CryptoLocker (o variantes), pero por lo demás no están relacionados.

Trabajo

CryptoLocker generalmente se distribuye como un archivo adjunto a un mensaje de correo electrónico supuestamente inocuo que parece ser de una empresa legítima [3] . El archivo de correo adjunto al mensaje de correo electrónico contiene un archivo ejecutable con el nombre de archivo y el ícono disfrazados como un archivo PDF : aprovechando así el comportamiento predeterminado de Windows para ocultar la extensión de los nombres de archivo para ocultar la extensión real: .EXE. CryptoLocker también se distribuyó usando el troyano Gameover ZeuS y botnet [4] [5] [6] .

En la primera ejecución , la carga útil del troyano se instala en la carpeta del perfil del usuario y agrega una clave al registro que hace que se ejecute cuando se inicia la computadora. A continuación, intenta ponerse en contacto con uno de varios servidores de comando y control asignados; después de conectarse, el servidor genera un par de claves RSA de 2048 bits y envía la clave pública a la computadora infectada [1] [5] . Los servidores pueden ser servidores proxy locales y pasar a través de otros servidores, a menudo moviéndose en diferentes países para que sean difíciles de rastrear [7] [8] .

Luego, la carga útil cifra los archivos en los discos duros locales y las unidades de red asignadas con una clave pública y registra cada archivo cifrándolos en una clave de registro. El proceso solo encripta archivos de datos con ciertas extensiones, incluidos Microsoft Office , OpenDocument y otros documentos, imágenes y archivos de AutoCAD [6] . La carga útil muestra un mensaje que informa al usuario que los archivos han sido encriptados y requiere el pago de $400 o EUR a través de un cupón de efectivo prepago anónimo (como MoneyPak o Ukash ) o el equivalente de Bitcoin (BTC) dentro de 72 o 100 horas (a partir de 2 BTC, los operadores han ajustado el precio del rescate a 0,3 BTC para reflejar el valor fluctuante de bitcoin) [9] , o la clave privada en el servidor será destruida y "nadie podrá recuperar los archivos " [1] [5] . El pago del rescate permite al usuario descargar el programa de descifrado, que está precargado con la clave privada del usuario [5] . Algunas víctimas infectadas afirman que pagaron a los atacantes, pero que sus archivos no fueron descifrados [3] .

En noviembre de 2013, los operadores de CryptoLocker lanzaron un servicio en línea que permite a los usuarios descifrar sus archivos sin el programa CryptoLocker y comprar una clave de descifrado después de la fecha límite; el proceso consistía en cargar un archivo cifrado en el sitio como muestra y esperar a que el servicio encontrara una coincidencia; el sitio afirmó que la clave se encontraría dentro de las 24 horas. Una vez descubierta, el usuario puede pagar la clave en línea, pero si ha pasado el plazo de 72 horas, el costo se incrementa a 10 bitcoins [10] [11] .

Eliminación y restauración de archivos

El 2 de junio de 2014, el Departamento de Justicia de EE. UU. anunció oficialmente que durante el fin de semana anterior, la Operación Tovar , un consorcio que incluye: un grupo de agencias de aplicación de la ley (incluidos el FBI y la Interpol ), proveedores de software de seguridad y varios universidades— fue capturado por la red de bots Gameover ZeuS , que se utilizó para distribuir CryptoLocker y otro malware. El Departamento de Justicia también acusó públicamente al hacker ruso Yevgeny Bogachev por su supuesta participación en la botnet [4] [12] [13] .

Como parte de esta operación, la firma holandesa Fox-IT pudo obtener una base de datos de claves secretas utilizadas por CryptoLocker. En agosto de 2014, Fox-IT y otra empresa, FireEye , introdujeron un servicio en línea que permite a los usuarios con computadoras infectadas extraer su clave privada descargando un archivo de muestra y luego recibiendo una herramienta de descifrado [14] [15] .

Mitigación

Aunque el software de seguridad está diseñado para detectar este tipo de amenazas, es posible que no detecte CryptoLocker en absoluto durante el cifrado o después de que se complete el cifrado, especialmente si se distribuye una nueva versión desconocida para el software de seguridad. Si se sospecha o se detecta un ataque en las primeras etapas, el troyano necesita más tiempo para cifrar: eliminar el malware inmediatamente (un proceso relativamente simple) antes de que se complete solo limitará la corrupción de datos [16] [17] . Los expertos han sugerido precauciones como el uso de software u otras políticas de seguridad para bloquear la carga útil de CryptoLocker [1] [5] [6] [8] [17] .

Debido a la naturaleza del funcionamiento de CryptoLocker, algunos expertos han sugerido a regañadientes que pagar un rescate es la única forma de recuperar archivos de CryptoLocker en ausencia de copias de seguridad actuales (las copias de seguridad fuera de línea realizadas antes de que ocurriera la infección, inaccesibles desde las computadoras infectadas, no pueden ser atacadas). por CryptoLocker) [3] , debido a la longitud de la clave utilizada por CryptoLocker, los expertos consideraron que era casi imposible usar la fuerza bruta para obtener la clave necesaria para descifrar archivos sin pagar un rescate; un troyano similar de 2008, Gpcode.AK, usó una clave de 1024 bits, que se consideró lo suficientemente larga como para que fuera imposible calcular su clave, sin la posibilidad de esfuerzos concertados y distribuidos, o para detectar una brecha que podría usarse para descifrar [5 ] [11] [ 18] [19] . El analista de seguridad de Sophos , Paul Ducklin, especuló  que el servicio de descifrado en línea de CryptoLocker incluía un ataque de diccionario contra su propio cifrado utilizando su base de datos clave, lo que explica el requisito de esperar hasta 24 horas para obtener un resultado [11] .

Rescate pagado

En diciembre de 2013, ZDNet rastreó cuatro direcciones de bitcoin alojadas por usuarios cuyas computadoras estaban infectadas con CryptoLocker en un intento de estimar los costos de los operadores. Estas cuatro direcciones mostraron una tendencia de 41 928 BTC del 15 de octubre al 18 de diciembre: alrededor de $27 millones en ese momento [9] .

En encuestas realizadas por investigadores de la Universidad de Kent , el 41 % de quienes afirmaron haber sido víctimas dijeron que optaron por pagar el rescate: la proporción de quienes pagaron el rescate fue mucho mayor de lo esperado. Symantec estima que el 3% de las víctimas han pagado y Dell SecureWorks estima que aproximadamente el 0,4% de las víctimas han pagado [20] . Después del cierre de la botnet que se utilizó para distribuir CryptoLocker, se estimó que alrededor del 1,3 % de los infectados pagaron el rescate; muchos de ellos han podido restaurar archivos a través de copias de seguridad, mientras que se cree que otros han perdido cantidades masivas de datos. Sin embargo, se cree que los operadores del troyano lograron obtener un total de alrededor de $3 millones [15] .

Clones

El éxito de CryptoLocker ha generado una serie de troyanos ransomware (Ransomware) no relacionados y con nombres similares que funcionan esencialmente de la misma manera [21] [22] [23] [24] , incluidos algunos que se refieren a sí mismos como "CryptoLocker" pero, según para los investigadores, la seguridad no está relacionada con el CryptoLocker original [21] [25] [26] .

En septiembre de 2014, clones como CryptoWall y TorrentLocker (cuya carga útil se identifica como "CryptoLocker" pero se nombra para usar una clave de registro llamada "Aplicación BitTorrent") [27] comenzaron a extenderse en Australia. El ransomware utiliza correos electrónicos infectados supuestamente enviados por departamentos gubernamentales (por ejemplo, Australia Post para indicar la entrega fallida del paquete) como carga útil. Para evitar la detección por parte de escáneres de correo electrónico automatizados que podrían seguir enlaces, esta opción se diseñó para requerir que los usuarios visiten una página web e ingresen un código CAPTCHA antes de la descarga real. Symantec determinó que estas nuevas variantes, que identificó como "CryptoLocker.F", no estaban relacionadas con el original [24] [26] [28] [29] .

Notas

  1. 1 2 3 4 Dan Goodin. Estás infectado. Si quieres volver a ver tus datos, páganos $300 en Bitcoins .  El ransomware alcanza la mayoría de edad con criptografía irrompible, pagos anónimos . Ars Technica (18 de octubre de 2013) . Consultado el 1 de junio de 2017. Archivado desde el original el 23 de octubre de 2013.
  2. Leo Kelión. El ransomware Cryptolocker ha 'infectado unas 250.000 PC  ' . BBC (24 de diciembre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 22 de marzo de 2019.
  3. 1 2 3 Ryan Naraine. Infecciones Cryptolocker en Aumento;  Advertencia de problemas de US-CERT . SecurityWeek (19 de noviembre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 10 de junio de 2016.
  4. 1 2 Brian Krebs. 'Operation Goods' tiene como objetivo 'Gameover' ZeuS Botnet, CryptoLocker  Scourge . Krebs on Security (2 de junio de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 4 de junio de 2014.
  5. 1 2 3 4 5 6 Lawrence Abrams. Guía de información y preguntas frecuentes de CryptoLocker Ransomware  . Bleeping Computer (14 de octubre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 31 de mayo de 2017.
  6. 1 2 3 Jonathan Hassell. Cryptolocker : cómo evitar infectarse y qué hacer si lo es  . Computerworld (25 de octubre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 11 de junio de 2017.
  7. Paul Patito. El malware destructivo "CryptoLocker" anda suelto: esto es lo que debe hacer  (inglés) . Naked Security (12 de octubre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 22 de octubre de 2013.
  8. 1 2Donna Ferguson. Ataques de CryptoLocker que secuestran su  computadora . The Guardian (19 de octubre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 5 de marzo de 2017.
  9. 12 Azul violeta . La ola delictiva de CryptoLocker: un rastro de millones en Bitcoin lavado (inglés) . ZDNet (22 de diciembre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 17 de mayo de 2017.  
  10. Sra. Herrero. Los ladrones de CryptoLocker cobran 10 Bitcoins por el servicio de descifrado de segunda oportunidad  . Red Mundo (4 de noviembre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 15 de abril de 2017.
  11. 1 2 3 Lucian Constantin. Los creadores de CryptoLocker intentan extorsionar aún más a las víctimas con un nuevo  servicio . PC World (4 de noviembre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 30 de abril de 2017.
  12. Tormenta de Darlene. Wham bam : la operación global Tovar golpea al ransomware CryptoLocker y al botnet GameOver Zeus  . Computerworld (2 de junio de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 18 de mayo de 2017.
  13. EE. UU. lidera una acción multinacional contra la red de bots "Gameover Zeus" y el ransomware "Cryptolocker", acusa al  administrador de la red de bots . Departamento de Justicia de los Estados Unidos (2 de junio de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 1 de junio de 2017.
  14. Brian Krebs. Nuevo sitio recupera archivos bloqueados por Cryptolocker Ransomware  . Krebs on Security (6 de agosto de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 7 de junio de 2017.
  15. 12Mark Ward . Víctimas de Cryptolocker para recuperar archivos gratis . BBC (6 de agosto de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 23 de mayo de 2017.  
  16. Josué Cannell. Cryptolocker Ransomware: lo que necesita saber  (inglés) . Malwarebytes (8 de octubre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 30 de septiembre de 2021.
  17. 12 Juan Leyden . Ransomware Fiendish CryptoLocker : Hagas lo que hagas, no PAGUES . El Registro (18 de octubre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 18 de octubre de 2013.  
  18. Ryan Naraine. El chantaje ransomware regresa con una clave de cifrado de 1024 bits  . ZDNet (6 de junio de 2008). Fecha de acceso: 1 de junio de 2017. Archivado desde el original el 17 de noviembre de 2016.
  19. Roberto Lemos. Ransomware que se resiste a los  esfuerzos de descifrado de cifrado . Enfoque de seguridad (13 de junio de 2008). Consultado el 1 de junio de 2017. Archivado desde el original el 3 de marzo de 2016.
  20. Julio Hernández-Castro, Eerke Boiten y Magali Barnoux. Resultados de la encuesta en línea del Centro de Investigación Interdisciplinario en Seguridad Cibernética de la Universidad de Kent en Canterbury  (  enlace inaccesible) . Universidad de Kent. Consultado el 1 de junio de 2017. Archivado desde el original el 24 de agosto de 2017.
  21. 1 2 Abigail Pichel. El nuevo CryptoLocker se propaga a través de unidades extraíbles  . Trend Micro (25 de diciembre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 4 de noviembre de 2016.
  22. Jeremy Kirk. El ransomware CryptoDefense deja  accesible la clave de descifrado . Computerworld (1 de abril de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 18 de septiembre de 2017.
  23. Iain Thompson. ¿Tus archivos son rehenes de CryptoDefense? ¡No pagues!  La clave de descifrado está en su disco duro . El Registro (3 de abril de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 26 de diciembre de 2016.
  24. 1 2 Patrick Budmar. Australia apunta específicamente por Cryptolocker: Symantec . El proveedor de seguridad encuentra la última variante del  cryptomalware . ARNnet (3 de octubre de 2014) . Consultado el 1 de junio de 2017. Archivado desde el original el 16 de junio de 2018.
  25. Robert Lipovsky. Cryptolocker 2.0: ¿nueva versión o imitación?  (Inglés) . WeLiveSecurity (19 de diciembre de 2013). Consultado el 1 de junio de 2017. Archivado desde el original el 2 de junio de 2017.
  26. 1 2 australianos cada vez más afectados por la marea global de cryptomalware  (ing.)  (enlace no disponible) . Symantec (26 de septiembre de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 16 de junio de 2018.
  27. Marc-Etienne M. Léveille. TorrentLocker ahora apunta al Reino Unido con el  phishing de Royal Mail . WeLiveSecurity (4 de septiembre de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 7 de noviembre de 2017.
  28. Adán Turner. Los estafadores usan Australia Post para enmascarar los  ataques de correo electrónico . The Sydney Morning Herald (15 de octubre de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 8 de noviembre de 2017.
  29. Steve Ragan. El ataque de ransomware saca del aire a la estación de  televisión . CSO Online (7 de octubre de 2014). Consultado el 1 de junio de 2017. Archivado desde el original el 7 de noviembre de 2017.