Single Blog Title

This is a single blog caption
8
Abr

El peligro de compartir datos en Internet

RANSOMWARE BASADO EN JAVASCRIPT AFECTA A TODOS LOS SISTEMAS OPERATIVOS

Juan Pérez decide irse de fiesta saliendo de la escuela, meses antes su papá le regala un iPhone. Juan estando en la fiesta hace varias publicaciones de la fiesta en la que se encuentra con el dispositivo que su padre le regalo usando la red social Facebook; él no sabe el peligro en el que se encuentra al subir datos sensibles por aquel medio. Parece algo aparentemente inofensivo. Minutos más tarde llaman a la familia de Juan pidiendo una cantidad de dinero por su libertad.

 PERO, ¿CÓMO SE DIO EL SECUESTRO?

 Internet es un negocio muy productivo para los delincuentes cibernéticos, lo que sucedió aquí es que existen datos que describen otros datos (metadatos), estos datos se pueden extraer con software que arroja como resultados, fecha, hora, modelo, marca del dispositivo y ubicación. Al obtener esta información el delincuente y vigilar su comportamiento de publicaciones anteriores de Juan en su perfil de Facebook de la víctima se pueden trazar algoritmos de comportamiento y analizar cómo es la rutina de Juan: (quiénes son sus amigos, qué le gusta, los lugares que frecuenta, quiénes son sus familiares, su ubicación, con qué tipo de gente se relaciona, su estatus económico, etc.). El atacante notó que Juan era un buen candidato para secuestrar, ya que fácilmente su familia podía pagar la cantidad de dinero que se pedía por la libertad de Juan.

Este método (delito) que se usa al privar de su libertad a una persona es parecido al secuestro de la información, lo que comúnmente llamamos Ransomware.

petya-ransomware-fb-3

El Ransomware actualmente no es detectado por la gran mayoría de las soluciones anti malware, ha sido visto y analizado por los investigadores de Mitre, Emsisoft y compañías creadoras de antivirus.

Este tipo de virus (Ransomware) es un tipo de código malicioso que cifra o bloquea el acceso a la información; para que el usuario pueda volver acceder a ella necesita realizar el pago de una determinada cantidad de dinero. Como parte de su funcionamiento inhabilita ciertos componentes del sistema o el acceso a documentos del usuario.

  • Cifrado de archivos de disco.

  • Bloqueo de acceso a ciertos archivos.

  • Bloqueo total de acceso al sistema.

 Una vez que el sistema fue comprometido, el atacante solicita una suma de dinero, a través de diversos medios (algunos más diversos que otros): depósito bancario, el envió de un mensaje de texto, pago electrónico, la adquisición de un producto. Lo más común es el pago en una moneda llamada BitCoins.

El objeto que vamos a análisis y explicar se denomina Ransom32, éste es enviado a la víctima en forma de un archivo WinRAR autoextraíble. Utiliza lenguaje de scripting integrado para descomprimir su contenido, y entre los ficheros que descomprime está uno llamado chrome.exe. Este ejecutable es una aplicación con NW.js

NW.js es un framework de JavaScript para desarrollo de aplicaciones. Permite a los desarrolladores crear aplicaciones de escritorio a través del módulo Node.js, y estas aplicaciones interactúan con el sistema operativo destino. Una ventaja adicional de este tipo de enfoque es que el mismo código JavaScript se puede embeber para ejecutarse en diferentes plataformas. Hasta el momento, se ha descubierto que está potencialmente dirigido a usuarios de Windows, pero puede fácilmente afectar máquinas con Linux y Mac.

Según Emsisoft, la campaña de envío se hace por medio de correos electrónicos falsos. Los ciberdelincuentes engañan a las víctimas para que descargue un archivo que en última instancia descarga Ransom32 al equipo de cómputo. El ransomware encripta un grupo de tipos de archivos, y el esquema de cifrado aún no se ha roto. Pero lo más interesante de todo es que es ofrecido a criminales cibernéticos como un servicio. Los investigadores han rastreado el portal de los delincuentes en la DarkWeb (El lado público de la DeepWeb), y a través de este se puede ver la forma como adaptar el ransomware a sus necesidades y deseos; además de ver las estadísticas, cuántos sistemas han sido infectados, cuántos usuarios han pagado el rescate, etc. En otras palabras ofrece estadísticas de la rentabilidad de la compra del producto.

whyransomwar

Como se mencionó antes, protegerse contra esta amenaza es difícil. NW.js es un framework legítimo, por lo que el bloqueo de aplicaciones desarrolladas a través de este no puede ser el enfoque adecuado para soluciones de seguridad ,así que no queda más que estar pendiente de esta nueva amenaza. La principal protección ante esta amenaza en la utilización de un software de seguridad antivirus, la realización de respaldos de la información es la mejor de las prácticas para prevenir un ataque de un Ransomware.

Pero nada podrá nunca con un Ransomware sino un programa de concientización hacia el usuario promedio y enseñarle que no debe de abrir archivos desconocidos ni mucho menos de destinatarios desconocidos. Un buen programa de concientización hacia el usuario no consiste únicamente en dar dos pláticas anuales, consiste en evangelizar periódicamente a los usuarios siempre sembrando en ellos la semilla de las buenas prácticas de seguridad informática.

Ing. Julio Cesar Navarrete Montiel

Information Security Administrator

 

Ing. Héctor Jesús Pérez Mancilla

Information Security Officer

Leave a Reply