La evolución del ransomware y las herramientas para combatirlo

26 Jun 2018

El año pasado, el ransomware inundó los titulares como resultado de lo que podemos describir como un salto evolutivo. Los ciberdelincuentes han conseguido transformar una simple amenaza que cifra archivos en una herramienta bastante compleja y todo parece indicar que la evolución continúa.

Antes del 2017

En los viejos tiempos, las víctimas de ransomware llegaban a serlo de casualidad porque los ciberdelincuentes lanzaban spam a diestro y siniestro con la esperanza de que al menos un usuario con archivos importantes en su ordenador se descargara el adjunto malicioso.

Pero la situación cambió en 2016. Las listas aleatorias de los estafadores se fueron remplazando por direcciones, especialmente recopiladas, de empleados que habían encontrado en Internet. Los delincuentes habían descubierto que atacar a empresas generaba más beneficios. El contenido del mensaje también había cambiado, en vez de enmascararlo en forma de correspondencia personal, ahora parecían proceder de socios, clientes y servicios fiscales.

2017

En 2017, la situación volvió a cambiar, pero esta vez de forma radical. Tuvieron lugar dos grandes epidemias que dañaron a millones de personas y mostraron que el ransomware podría usarse no solo para la extorsión, sino para otros propósitos. La primera epidemia fue el famoso WannaCry, un pionero tecnológico. Este ransomware explotó una vulnerabilidad en la implementación del protocolo SMB en Windows. Esta ya se había reparado, el problema es que muchas empresas no se habían molestado en instalar el parche. Pero la cosa no queda aquí.

WannaCry no triunfó como ransomware. A pesar de haber infectado a cientos de miles de máquinas, los creados de WannaCry solo consiguieron cobrar pequeñas cantidades. Algunos investigadores empezaron a preguntarse si el objetivo no era el dinero, sino el sabotaje o la destrucción de datos.

La siguiente amenaza despejó todas las dudas. ExPetr ni siquiera era capaz de recuperar los datos cifrados, ya que bajo la apariencia de un ransomware, lo que hacía en realidad era borrar los archivos. Además, utilizaba una nueva estrategia. Mediante un ataque de cadena de suministro, los creadores consiguieron comprometer parte del programa de contabilidad ucraniano llamado MeDoc, lo que puso en riesgo a casi todas las empresas ucranianas con actividades comerciales.

2018

Lo sucedido hasta ahora muestra que el ransomware sigue en continua evolución. Nuestros expertos han investigado recientemente una nueva amenaza, la última modificación del ransomware SynAck, y han descubierto que contiene mecanismos complejos para contrarrestar las tecnologías de protección, indicios de un ataque dirigido. Estas medidas incluyen:

  • Aplicar un método de duplicación de procesos conocido como Process Doppelgänging para intentar hacer pasar un proceso malicioso como legítimo.
  • Ofuscar el código ejecutable antes de la compilación.
  • Comprobar que no está siendo vigilado en un entorno controlado.
  • Anular procesos y servicios para asegurarse el acceso a archivos importantes.
  • Limpiar los registros del evento para dificultar el análisis posterior al incidente.

No hay motivos para creer que la evolución del ransomware haya llegado a su fin. Sus creadores seguirán buscando nuevos métodos para incrementar su complejidad.

Cómo se puede frenar la evolución del ransomware

Solo se puede acabar con el desarrollo del ransomware disminuyendo su efectividad y, para ello, se necesitan las últimas tecnologías. Nuestros clientes se han mantenido sanos y salvos, todas nuestras soluciones para equipos corporativos contienen subsistemas que nos permiten combatir el ransomware con eficacia.

Pero, aunque no utilices las soluciones corporativas de Kaspersky Lab, no tienes por qué dejar tus datos sin protección. Kaspersky Anti-Ransomware Tool, aumenta los mecanismos de seguridad de la mayoría de los proveedores terceros. Utiliza las últimas tecnologías de detección de comportamiento para revelar el ransomware y hace uso de nuestras herramientas basadas en la nube. Además, también evoluciona para adaptarse a las nuevas amenazas, de hecho, acabamos de lanzar la tercera versión.

Esta última versión de Kaspersky Anti-Ransomware Tool se puede utilizar desde la línea de comandos, lo que facilita su implementación automática en las redes corporativas. Y, por si eso fuera poco, la solución es totalmente gratuita. Entra aquí, regístrate y descarga e instala la aplicación.