PDF de programación - Ransomware: la bolsa o la vida (digital)

Ransomware:
la bolsa o la vida (digital)
Nicasio de Tomas
Channel Manager Dell Security Iberia
Alex Vazquez
Ingeniero Preventa Dell Security


• Algunas definiciones
• Tipos de Ransomware
• Breve historia del Ransomware
• Canales de Propagación
• Como protegernos contra el Ransonware
• Seguridad basada en capas
• Sonicwall NGFW – Configuración y buenas prácticas
• Conclusiones y Referencias

2

Confidential

SonicWALL

Algunas definiciones

• Ransomware (del inglés ransom (rescate) y ware (software)): es un

tipo de malware que restringe el acceso a determinadas partes o
archivos del sistema infectado, y pide un rescate a cambio de quitar
esta restricción.1 Algunos tipos de ransomware cifran los archivos
del sistema operativo inutilizando el dispositivo y coaccionando al
usuario a pagar el rescate.

(Source: https://es.wikipedia.org/wiki/Ransomware

Confidential

3



SonicWALL

Algunas definiciones(cont.)

• Exploit Kit: Un exploit kit es un kit de software diseñado para

ejecutarse en servidores web, con el fin de identificar las
vulnerabilidades de software en los equipos cliente que se
comunican con él, para explotarlas y poder transferir y ejecutar
código malicioso.

(Source: https://en.wikipedia.org/wiki/Exploit_kit)

4

Confidential

SonicWALL

Algunas definiciones(cont.)
• Spear phishing: Intentos de phishing dirigidos a particulares o empresas

específicas. Los atacantes pueden recopilar información personal acerca de su
objetivo y aumentar su probabilidad de éxito. Esta técnica es, con diferencia, la
más exitosa en Internet hoy en día, representa el 91% de los ataques.

(fuente: https://en.wikipedia.org/wiki/Spear-phishing)
• Drive-by download significa dos cosas, ambas relacionadas con la descarga

involuntaria de software a través de Internet:



1) Descargas autorizadas por el usuario, pero sin entender las
consecuencias (por ejemplo descargas que instalan un programa
desconocido, un ejecutable falsificado,componentes ActiveX o Java
applet).

2) Cualquier descarga que ocurre sin el conocimiento de una
persona, a menudo un virus informático, software espía,malware, o
software de actividades ilegales.

(fuente: https://en.wikipedia.org/wiki/Drive-by_download)

5

Confidential

SonicWALL

Tipos de Ransomware

Locker Ransomware

• Restringe el acceso del usuario al interfaz de su dispositivo.
• Normalmente se propaga a través de ingeniería social, campañas de

phishing y sitios web legítimos comprometidos.

• Por lo general, no afecta a los documentos o ficheros de sistema; en

su lugar, sólo se restringe el acceso a la interfaz.

• A menudo puede ser eliminado fácilmente mediante la restauración
del sistema a la última copia o mediante la implementación de una
herramienta de eliminación comercial.

• Algunas variantes más sofisticadas incorporan ingeniería social en la
estafa para presionar al usuario a pagar el rescate (Ej.: disclaimer del
FBI o Policía).



Confidential

7



SonicWALL

Crypto Ransomware
• Crypto ransomware tiene como objetivo los datos y el sistema de ficheros del

dispositivo.

• La funcionalidad del sistema y los archivos críticos normalmente no quedan

afectados.

• A menudo incluye un tiempo límite, después del cuál la clave de descifrado

podría (o no) ser eliminada de forma permanente si la víctima no paga el rescate
a tiempo.

• Antes de 2013, las implementaciones existentes eran mucho más simples y

fáciles de descifrar (clave de descifrado común, claves de descifrado
almacenadas en el dispositivo o en el código, etc.).

• A partir de 2013, hubo una evolución hacia implementaciones más complejas y

el uso de algoritmos de cifrado asimétrico fuerte, como RSA, 3DES, AES, etc.

• La mayoría usan Tor, proxies, y cripto-monedas, como bitcoins para

permanecer en el anonimato.

8

Confidential

SonicWALL

Breve historia del Ransomware



Ransomware no es una nueva amenaza!

Nombre: AIDS Trojan

Fecha: 1989

Creador: Dr. Joseph
Popp (Biologist)

Propagacion: Floppy
disks

Rescate: $189 o $378

• Este fue el primer ransomware conocido
• Ocultaba carpetas y encriptaba ficheros
• Se ejectutaba despues de 90 reinicios del ordenador
• Pedía un rescate (enmascarado como licencia de software) para ser



pagado en una cuenta de Panama



Confidential

10

SonicWALL

Archiveus Trojan & GPCode (PGPCoder)
• Nombre: Archiveus Trojan
• Nombre: GPCode Trojan
• Fecha: 2006
• Fecha: 2006
• Creador: desconocido
• Creador: Programador Ruso
• Primer ransomware que usó

(desconocido)

• Propagacion: Correo spam con

fichero Word adjunto.
• Rescate: 100 – 200 $
• La versión inicial usaba un
algoritmo de encriptación
propietario. En 2010 se lanzo una
versión mejorada con encriptación
avanzada (RSA/AES)

encriptación RSA.

• Exigía a las victimas comprar
artículos de farmacia on-line.
• Encriptaba toda la carpeta de

Mis documentos.

11

Confidential

SonicWALL



Reveton
• Nombre: Reveton (Virus de la

Policia)

• Fecha: 2012
• Creador: Desconocido
• Propagacion: Correo spam,

Drive-by-Download, botnets…

• Rescate: 200 $
• Se conecta a la botnet

ZeuS/Citadel

• Muestra dirección IP, webcam,
• Usa Geolocalización para
personalizar el mensaje.

12

Confidential

SonicWALL

Cryptolocker
• Nombre: Cryptolocker
• Fecha: Septiembre 2013
• Creador: Desconocido
• Propagacion: Correo phishing (ZIP

adjunto con ejecutable disfrazado de PDF)

• Encriptacion: RSA 2048
• Rescate: 0.3 – 2 Bitcoins en 72 - 100

horas

• Las máquinas infectadas se conectaban a la botnet Gameover ZeuS.
• La clave privada necesaria para desencriptar los ficheros se almacenaba en los

servidores C&C.

• Cryptolocker y la botnet ZeuS se cerraron en Mayo del 2014 tras la Operacion

Tovar. Las claves privadas se usaron para crear una herramienta online de
recuperación de ficheros cifrados.

13

Confidential

SonicWALL

Cryptowall
• Nombre: Cryptowall
• Fecha: Principios de 2014
• Creador: Desconocido
• Propagacion: Exploit kits y correo

spam (adjunto RAR con fichero CHM)

• Encriptacion: AES-256
• Rescate: 1 Bitcoin
• Usa Geolocalización para
personalizar los mensajes.

• Usa la red I2P para la conexión con el servidor C&C que almacena las

claves privadas, y la red Tor para el pago del rescate.

• Dado el éxito de Cryptolocker, aparece como un clon mejorado

después de la Operacion Tovar.

14

Confidential

SonicWALL

Locky
• Nombre: Locky
• Fecha: Febrero 2016
• Creador: Dridex (grupo

criminal)

• Propagacion: Spam con

adjunto (Word con macros)

• Encriptacion: RSA 2048 y

AES-128

• Rescate: 0,5 – 1 bitcoin
• Más de 90.000 equipos infectados cada día.
• Se hizo popular tras la infección de equipos en varios hospitales

norteamericanos.



15

Confidential

SonicWALL

Summary

16

Confidential

SonicWALL

Canales de propagación

Spear-Phishing
• Durante muchos años, el correo spam utilizando técnicas de ingeniería social

ha sido el método preferido para la distribución de todo tipo de malware,
incluyendo ransomware.

• Los ciber-delincuentes usan una botnet para el envío de spam.
• El spam por lo general viene en forma de correo electrónico que contiene un
archivo adjunto malicioso o un enlace que lleva a un sitio web con Exploit Kits.

• Los correos spam encarnan toda una gama técnicas de ingeniería social y

elementos psicológicos para engañar a los usuarios y que instalen el
ransomware. Algunos de los temas más comunes son:
– Notificación de entrega
– Factura de energia
– Curriculums de personas buscando empleo
– Devolución de impuestos y/o Facturas
– Notificaciones de multas
– Correos de amigos de redes sociales



Confidential

18

SonicWALL

Anatomia de un ataque Spear-Phishing

19

Confidential

SonicWALL

Drive-by Download

• Las páginas que usan drive-by-download normalmente se encuentran

alojadas en sitios web legítimos en los que un atacante ha publicado algún
código de explotación (p.ej.: iframes invisibles).

• El usuario es redirigido al servidor malicioso, que contiene un exploit kit que

tratará de explotar vulnerabilidades en el navegador en sí, o en algunos
plugins del navegador como Java, Adobe Reader o Flash

• Si el host es vulnerable al exploit kit, entonces el malware se descargará en

el sistema y lo infectará.

20

Confidential

SonicWALL

Downloaders & Botnets
• El malware se distribuye en varias

fases a través de downloaders, para
minimizar la probabilidad de
detección basada en firmas.

• Una vez que el downloader infecta

un ordenador, su trabajo consiste en
descargar malware adicional en el
sistema comprometido.

• Se sabe que algunas botnets infectan

con ransomware algunas de las
máquinas comprometidas. Esto se
hace generalmente por los
ciberdelincuentes para obtener un
rendimiento económico de parte de
los ordenadores que controlan.



21

Confidential

SonicWALL

Ingeniería Social y Auto-Propagación

• Algunos ransomware también tienen la capacidad de propagarse. Por

ejemplo, en Android, hay algunas variantes de ransomware que no sólo
bloquean el dispositivo o cifran archivos, sino que emplean técnicas
similares a las que usan los gusanos para propagarse a todos los contactos
de la agenda, mediante el envío de mensajes SMS con ingeniería social.

• Potencialmente, la auto-propagación es una forma de propagación efectiva
para el ransomware, pero causa problemas a los delincuentes que esperan
un pago del rescate. Nadie estará dispuesto a pagar si se sigue exigiendo un
nuevo pago de rescate después de cada pago.

22

Confidential

SonicWALL

Como protegernos frente al
Ransomware

Usuarios Educación y formación
• Los usuarios son normalmente el eslabón más débil.
• La gran mayoría de las infracciones y los incidentes de

ciberseguridad están directamente