Como hemos comentado en anteriores artículos, los ciberataques son cada vez más sofisticados y agresivos, además, son considerados el principal riesgo en mercados que representan el 50% del PIB mundial. Por tanto, todas las empresas, independientemente de su tamaño o sector, necesitan fortalecer la ciberseguridad para sobrevivir en este mundo totalmente conectado; la seguridad avanzada es una necesidad vital para hacer frente a la ciberdelincuencia.
En este artículo, os vamos a hablar de CryptoLocker, un ciberataque de tipo ransonware que bloquea el acceso a nuestro sistema, cifrando los documentos, pidiéndonos un rescate y hasta que no hayamos procedido a dar la cantidad que nos hayan solicitado, no eliminarán la restricción establecida. Dicho con otras palabras, lo que hace un ciberataque CryptoLocker es retener los documentos e información de un usuario hasta que éste hace el pago de la cantidad que hayan solicitado. Como vemos, la principal razón por la que los hackers realiza este tipo de ciberataque es para obtener un beneficio económico.
Se puede dar la situación de que al dar la cantidad que nos han pedido desde un primer momento, no nos proporcionen la clave para descifrar el contenido, es decir, una vez que ven que el usuario ha accedido a abonar el rescate suelen pedir una cantidad mayor. Por tanto, se aconseja que ante una situación así, antes de proceder a pagar, que este ataque se extienda y lo sufran más usuarios, se ponga en conocimiento de expertos en ciberseguridad para que puedan evitarlo o al menos frenarlo. A continuación, vamos a ver cómo se instala un ciberataque de este tipo en nuestros equipos y cómo podemos evitarlo.
¿Cómo se instala el ciberataque CryptoLocker en nuestros equipos?
Este tipo de ciberataque es instalado por los propios usuarios sin que tengan conocimiento de ello, es decir, los atacantes envían a los usuarios un correo electrónico haciendo creer que es una empresa. El correo trae adjuntado un archivo ‘.zip’ y una contraseña.
Una vez que el usuario introduce la contraseña que se le ha proporcionado en el correo, abrirá el archivo comprimido pensando que hay algún tipo de documento y es en ese momento en que se abre este falso documento que normalmente está en formato ‘.pdf’ cuando el troyano es instalado en nuestros equipos.
En cuanto el usuario (la víctima) ejecuta el Troyano este se instala como residente en el equipo:
- Realiza una copia de sí mismo en una ruta del perfil del usuario (AppData, LocalAppData)
- Crea una entrada en los autoruns para asegurarse la ejecución al reinicio.
- Ejecuta dos procesos de su mismo fichero. Uno es el principal y otro para proteger el proceso original frente a cierres.
CryptoLocker no cifra todos los ficheros que encuentra, sino que se especializa en cifrar los ficheros no ejecutables que cumplan con la lista de extensiones que vemos a continuación:
*.odt *.wps *.ppt *.dwg *.mdf *.indd *.dng *.crw *.mrw *.rlw *x3f *p12 *.ods *.opd *.odm *.wps *.xls *.xlsx *.xlsm *xlsd *.xlk *.pptx *.pptm *.mdb *.accdb *. pst *.dxf *.dxg *.wpd *.rtf *.wb2 *.ai *.pdd *.nef *.nrw *.orf *.pef *.docx *.docm *.nrw *.
Además, CryptoLocker guarda la ruta de cada archivo cifrado en esta clave de registro:
HKEY_CURRENT_USERSoftwareCryptoLockerFiles
Cuando el troyano ha terminado de cifrar todos los ficheros que tiene a su alcance, muestra el siguiente mensaje en el que pide el rescate, dando un tiempo máximo para pagar antes de destruir la clave privada que guarda el autor. En este aspecto, cabe decir que REALIZAR EL PAGO nunca debería ser la solución para recuperar nuestros datos.
¿Cómo evitar este tipo de ciberataque?
El método de infección que utiliza CryptoLocker es la transmisión por email mediante el uso de ingeniería social. Para evitar este tipo de ciberataque debemos extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos, es decir, debemos usar la lógica para no abrir nunca un correo de alguien desconocido y mucho menos aún acceder al contenido, ya que se nos proporciona una contraseña y para acceder al contenido en cuestión debemos introducirla.
Además, en todo momento debemos tener el sistema operativo completamente actualizado con su correspondiente antivirus el cual debe tener soluciones anti-spam dado que la principal causa de que este virus infecte nuestros equipos es porque los usuarios hayan abierto un correo de este tipo.
Tal y como podemos ver, es muy fácil que un virus de estas características infecte a nuestros equipos, sin embargo, librarnos de él una vez que estamos infectados es mucho más costoso ya que tendremos que entrar en continuas negociaciones con los atacantes.
Por otro lado, se recomienda realizar periódicamente un backup (también conocido como copia de seguridad del disco) de nuestro disco duro, ya no solo para prevenir este tipo de ataque sino por cualquier otro. De esta forma, al realizar la copia de seguridad disponemos de una copia de nuestro disco y en caso de ser víctimas de este ataque, no estamos tan expuestos a ceder a las pretensiones de los atacantes.
En Delfos Sistemas consideramos esencial tener definido un plan de seguridad que contemple medidas preventivas y adaptadas a las normativas vigentes. Además, aconsejamos a nuestros clientes la solución EDR- Panda Adpative Defense 360 como medida de prevención. ¡Pregúntanos!