CryptoLocker
De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda
Este artículo trata sobre un software ransomware específico llamado CryptoLocker. Para otro software similar, algunos con el nombre CryptoLocker, consulte Ransomware § Cifrar ransomware .
CryptoLocker
Captura de pantalla de un ataque de Cryptolocker.
Clasificacióncaballo de Troya
EscribeSecuestro de datos
SubtipoCriptovirus
Aislamiento2 de junio de 2014
Sistema (s) operativo (s) afectado (s)Ventanas

El ataque de ransomware CryptoLocker fue un ciberataque con el ransomware CryptoLocker que se produjo desde el 5 de septiembre de 2013 hasta finales de mayo de 2014. El ataque utilizó un troyano que apuntaba a equipos con Microsoft Windows , [1] y se cree que se publicó por primera vez en Internet el 5 Septiembre de 2013. [2] Se propagó a través de archivos adjuntos de correo electrónico infectados y a través de una botnet Gameover ZeuS existente . [3] Cuando se activa, el malware encripta ciertos tipos de archivos almacenados en unidades de red locales y montadas utilizando criptografía de clave pública RSA , con la clave privada almacenada solo en los servidores de control del malware. Luego, el malware mostró un mensaje que ofrecía descifrar los datos si se realizaba un pago (a través de bitcoin o un vale en efectivo prepago) antes de una fecha límite establecida, y amenazaba con eliminar la clave privada si la fecha límite pasaba. Si no se cumplía el plazo, el malware ofrecía descifrar los datos a través de un servicio en línea proporcionado por los operadores del malware, por un precio significativamente más alto en bitcoin. No había garantía de que el pago liberara el contenido cifrado.

Aunque CryptoLocker en sí se eliminó fácilmente, los archivos afectados permanecieron encriptados de una manera que los investigadores consideraron inviable de romper. Muchos dijeron que el rescate no debería pagarse, pero no ofrecían ninguna forma de recuperar archivos; otros dijeron que pagar el rescate era la única forma de recuperar archivos que no habían sido respaldados . Algunas víctimas afirmaron que el pago del rescate no siempre conducía a que los archivos fueran descifrados.

CryptoLocker se aisló a finales de mayo de 2014 a través de la Operación Tovar , que eliminó la botnet Gameover ZeuS que se había utilizado para distribuir el malware. Durante la operación, una empresa de seguridad involucrada en el proceso obtuvo la base de datos de claves privadas utilizada por CryptoLocker, que a su vez se utilizó para construir una herramienta en línea para recuperar las claves y archivos sin pagar el rescate. Se cree que los operadores de CryptoLocker extorsionaron con éxito un total de alrededor de $ 3 millones a las víctimas del troyano. Otras instancias de ransomware basado en cifrado que han seguido han utilizado el nombre "CryptoLocker" (o variaciones), pero por lo demás no están relacionados.

Operación

CryptoLocker generalmente se propaga como un archivo adjunto a un mensaje de correo electrónico aparentemente inocuo , que parece haber sido enviado por una empresa legítima. [4] Un archivo ZIP adjunto a un mensaje de correo electrónico contiene un archivo ejecutable con el nombre del archivo y el icono disfrazados como un archivo PDF , aprovechando el comportamiento predeterminado de Windows de ocultar la extensión de los nombres de archivo para disfrazar la extensión .EXE real. CryptoLocker también se propagó mediante el troyano y la botnet Gameover ZeuS . [5] [6] [7]

Cuando se ejecuta por primera vez, la carga útil se instala en la carpeta del perfil de usuario y agrega una clave al registro que hace que se ejecute al inicio. Luego intenta ponerse en contacto con uno de los varios servidores de comando y control designados; una vez conectado, el servidor genera un par de claves RSA de 2048 bits y envía la clave pública a la computadora infectada. [1] [6] El servidor puede ser un proxy local y pasar por otros, frecuentemente reubicados en diferentes países para dificultar su rastreo. [8] [9]

Luego, la carga útil cifra los archivos en los discos duros locales y las unidades de red asignadas con la clave pública, y registra cada archivo cifrado en una clave de registro. El proceso solo cifra los archivos de datos con determinadas extensiones , como Microsoft Office , OpenDocument y otros documentos, imágenes y archivos de AutoCAD . [7] La carga útil muestra un mensaje que informa al usuario que los archivos se han cifrado y exige un pago de 400 USD o euros a través de un comprobante de efectivo prepagado anónimo (es decir, MoneyPak o Ukash ), o una cantidad equivalente en bitcoin.(BTC) dentro de 72 o 100 horas (mientras que a partir de 2 BTC, los operadores han ajustado el precio del rescate a 0.3 BTC para reflejar el valor fluctuante de bitcoin), [10] o de lo contrario la clave privada en el servidor sería destruidos, y "nadie y nunca [ sic ] podrá restaurar archivos". [1] [6] El pago del rescate permite al usuario descargar el programa de descifrado, que viene precargado con la clave privada del usuario. [6] Algunas víctimas infectadas afirman que pagaron a los atacantes pero que sus archivos no fueron descifrados. [4]

En noviembre de 2013, los operadores de CryptoLocker lanzaron un servicio en línea que afirmaba permitir a los usuarios descifrar sus archivos sin el programa CryptoLocker y comprar la clave de descifrado una vez vencido el plazo; el proceso implicó cargar un archivo cifrado en el sitio como muestra y esperar a que el servicio encontrara una coincidencia; el sitio afirmó que se encontraría una coincidencia dentro de las 24 horas. Una vez encontrada, el usuario podría pagar la clave en línea; si pasaba el plazo de 72 horas, el costo aumentaba a 10 bitcoins. [11] [12]

Eliminación y recuperación de archivos

El 2 de junio de 2014, el Departamento de Justicia de los Estados Unidos anunció oficialmente que durante el fin de semana anterior, la Operación Tovar, un consorcio constituido por un grupo de organismos encargados de hacer cumplir la ley (incluidos el FBI y la Interpol ), proveedores de software de seguridad y varias universidades, había interrumpido la Botnet Gameover ZeuS que se había utilizado para distribuir CryptoLocker y otro malware. El Departamento de Justicia también emitió públicamente una acusación contra el hacker ruso Evgeniy Bogachev por su presunta participación en la botnet. [5] [13] [14] [15]

Como parte de la operación, la firma de seguridad holandesa Fox-IT pudo adquirir la base de datos de claves privadas que utiliza CryptoLocker; En agosto de 2014, Fox-IT y su compañera FireEye introdujeron un servicio en línea que permite a los usuarios infectados recuperar su clave privada cargando un archivo de muestra y luego recibir una herramienta de descifrado. [16] [17]

Mitigación

Si bien el software de seguridad está diseñado para detectar tales amenazas, es posible que no detecte CryptoLocker en absoluto, o solo después de que el cifrado esté en marcha o completo, especialmente si se distribuye una nueva versión desconocida para el software de protección. [18] Si se sospecha o se detecta un ataque en sus primeras etapas, el cifrado tarda algún tiempo; la eliminación inmediata del malware (un proceso relativamente simple) antes de que se haya completado limitaría su daño a los datos. [19] [20] Los expertos sugirieron medidas de precaución, como el uso de software u otras políticas de seguridad para bloquear el lanzamiento de la carga útil de CryptoLocker. [1] [6] [7] [9] [20]

Debido a la naturaleza del funcionamiento de CryptoLocker, algunos expertos sugirieron a regañadientes que pagar el rescate era la única forma de recuperar archivos de CryptoLocker en ausencia de copias de seguridad actuales ( las copias de seguridad sin conexión realizadas antes de la infección que son inaccesibles desde computadoras infectadas no pueden ser atacadas por CryptoLocker) . [4] Debido a la longitud de la clave empleada por CryptoLocker, los expertos consideraron prácticamente imposible utilizar un ataque de fuerza bruta para obtener la clave necesaria para descifrar archivos sin pagar un rescate; el troyano similar de 2008 Gpcode.AK usó una clave de 1024 bits que se creía que era lo suficientemente grande como para ser computacionalmente imposible de romper sin una distribución distribuida concertada.esfuerzo, o el descubrimiento de una falla que podría usarse para romper el cifrado. [6] [12] [21] [22] El analista de seguridad de Sophos Paul Ducklin especuló que el servicio de descifrado en línea de CryptoLocker implicaba un ataque de diccionario contra su propio cifrado utilizando su base de datos de claves, explicando el requisito de esperar hasta 24 horas para recibir un resultado. . [12]

Dinero pagado

En diciembre de 2013, ZDNet rastreó cuatro direcciones de bitcoin publicadas por usuarios que habían sido infectados por CryptoLocker, en un intento de medir las ganancias de los operadores. Las cuatro direcciones mostraron un movimiento de 41,928 BTC entre el 15 de octubre y el 18 de diciembre, alrededor de US $ 27 millones en ese momento. [10]

En una encuesta realizada por investigadores de la Universidad de Kent , el 41% de los que afirmaron ser víctimas dijeron que habían decidido pagar el rescate, una proporción mucho mayor de lo esperado; Symantec había estimado que el 3% de las víctimas había pagado y Dell SecureWorks había estimado que el 0,4% de las víctimas había pagado. [23] Tras el cierre de la botnet que se había utilizado para distribuir CryptoLocker, se calculó que alrededor del 1,3% de los infectados habían pagado el rescate; muchos habían podido recuperar archivos de los que se había hecho una copia de seguridad, y se cree que otros han perdido grandes cantidades de datos. No obstante, se cree que los operadores extorsionaron un total de alrededor de $ 3 millones. [17]

Clones

El éxito de CryptoLocker generó una serie de troyanos de ransomware no relacionados y con nombres similares que funcionaban esencialmente de la misma manera, [24] [25] [26] [27] incluidos algunos que se refieren a sí mismos como "CryptoLocker", pero lo son, según la seguridad investigadores, no relacionados con el CryptoLocker original. [28] [29] [27]

En septiembre de 2014, más clones como CryptoWall y TorrentLocker (cuya carga útil se identifica a sí misma como "CryptoLocker", pero recibe su nombre por el uso de una clave de registro denominada " Aplicación Bit Torrent "), [30] comenzaron a extenderse en Australia; el ransomware utiliza correos electrónicos infectados, supuestamente enviados por departamentos gubernamentales (por ejemplo, Australia Post para indicar una entrega fallida de un paquete) como carga útil. Para evadir la detección mediante escáneres automáticos de correo electrónico que pueden seguir enlaces, esta variante fue diseñada para requerir que los usuarios visiten una página web e ingresen un código CAPTCHA antes de que se descargue la carga útil. Symantecdeterminó que estas nuevas variantes, que identificó como "CryptoLocker.F", no estaban vinculadas al original. [28] [24] [31] [32]

Ver también

  • Locky
  • PGPCoder
  • Quiero llorar
  • Petya

Referencias

  1. ^ a b c d "Estás infectado; si quieres volver a ver tus datos, paga 300 dólares en Bitcoins" . Ars Technica . 17 de octubre de 2013 . Consultado el 23 de octubre de 2013 .
  2. ^ Kelion, Leo (24 de diciembre de 2013). "Cryptolocker ransomware ha 'infectado alrededor de 250.000 PC ' " . BBC . Consultado el 24 de diciembre de 2013 .
  3. ^ "CryptoLocker" . Consultado el 14 de septiembre de 2017 .
  4. ^ a b c "Infecciones de Cryptolocker en aumento; Advertencia de problemas de US-CERT" . SecurityWeek . 19 de noviembre de 2013 . Consultado el 18 de enero de 2014 .
  5. ↑ a b Brian Krebs (2 de junio de 2014). " ' Operación Tovar' Objetivos 'Gameover' ZeuS Botnet, CryptoLocker Scourge" . Krebs sobre seguridad.
  6. ^ a b c d e f Abrams, Lawrence. "Guía de información y preguntas frecuentes de CryptoLocker Ransomware" . Ordenador que suena . Consultado el 25 de octubre de 2013 .
  7. ^ a b c "Cryptolocker: Cómo evitar infectarse y qué hacer si lo está" . Computerworld . 25 de octubre de 2013 . Consultado el 25 de octubre de 2013 .
  8. ^ "El malware destructivo" CryptoLocker "anda suelto - esto es lo que debe hacer" . Seguridad desnuda . Sophos. 12 de octubre de 2013 . Consultado el 23 de octubre de 2013 .
  9. ↑ a b Ferguson, Donna (19 de octubre de 2013). "Ataques de CryptoLocker que exigen un rescate a su computadora" . The Guardian . Consultado el 23 de octubre de 2013 .
  10. ↑ a b Violet Blue (22 de diciembre de 2013). "Crimewave de CryptoLocker: un rastro de millones en Bitcoin blanqueado" . ZDNet . Consultado el 23 de diciembre de 2013 .
  11. ^ "Los ladrones de CryptoLocker cobran 10 Bitcoins por el servicio de descifrado de segunda oportunidad" . NetworkWorld . 4 de noviembre de 2013 . Consultado el 5 de noviembre de 2013 .
  12. ^ a b c "Los creadores de CryptoLocker intentan extorsionar aún más a las víctimas con un nuevo servicio" . PC World . 4 de noviembre de 2013 . Consultado el 5 de noviembre de 2013 .
  13. ^ "Wham bam: Operación global Tovar golpea el ransomware CryptoLocker y la botnet GameOver Zeus" . Computerworld . IDG. Archivado desde el original el 3 de julio de 2014 . Consultado el 18 de agosto de 2014 .
  14. ^ "Estados Unidos lidera la acción multinacional contra la botnet" Gameover Zeus "y el ransomware" Cryptolocker ", carga al administrador de la botnet" . Justice.gov . Departamento de Justicia de Estados Unidos . Consultado el 18 de agosto de 2014 .
  15. ^ Graff, Garrett M. (21 de marzo de 2017). "Dentro de la búsqueda del hacker más notorio de Rusia" . Cableado . ISSN 1059-1028 . Consultado el 18 de enero de 2020 . 
  16. ^ Krebs, Brian. "Nuevo sitio recupera archivos bloqueados por Cryptolocker Ransomware" . Krebs sobre seguridad . Consultado el 18 de agosto de 2014 .
  17. ^ a b "Víctimas de Cryptolocker para recuperar archivos gratis" . Noticias de la BBC. 6 de agosto de 2014 . Consultado el 18 de agosto de 2014 .
  18. ^ El Yuma Sun, en un ataque de CryptoLocker : "... fue capaz de pasar desapercibido por el software antivirus utilizado por Yuma Sun porque era un malware de día cero"
  19. ^ Cannell, Joshua (8 de octubre de 2013). "Cryptolocker Ransomware: lo que necesita saber, última actualización 06/02/2014" . Malwarebytes desempaquetado . Consultado el 19 de octubre de 2013 .
  20. ^ a b Leyden, Josh. "Fiendish CryptoLocker ransomware: hagas lo que hagas, no pagues" . El registro . Consultado el 18 de octubre de 2013 .
  21. ^ Naraine, Ryan (6 de junio de 2008). "Blackmail ransomware regresa con una clave de cifrado de 1024 bits" . ZDnet . Consultado el 25 de octubre de 2013 .
  22. ^ Lemos, Robert (13 de junio de 2008). "Ransomware resistiendo los esfuerzos de craqueo de cripto" . SecurityFocus . Consultado el 25 de octubre de 2013 .
  23. ^ "Resultados de la encuesta en línea por el centro de investigación interdisciplinaria en seguridad cibernética en la Universidad de Kent en Canterbury" (PDF) . kent.ac.uk . Universidad de Kent en Canterbury. Archivado desde el original (PDF) el 8 de marzo de 2014 . Consultado el 25 de marzo de 2014 .
  24. ^ a b "Australia específicamente dirigida por Cryptolocker: Symantec" . ARNnet . 3 de octubre de 2014 . Consultado el 15 de octubre de 2014 .
  25. ^ "CryptoDefense ransomware deja la clave de descifrado accesible" . Computerworld . IDG. Abril de 2014 . Consultado el 7 de abril de 2014 .
  26. ^ Thomson, Iain (03 de abril de 2014). "¿Sus archivos secuestrados por CryptoDefense? ¡No pague! La clave de descifrado está en su disco duro" . El registro . Consultado el 6 de abril de 2014 .
  27. ^ a b "El nuevo CryptoLocker se propaga a través de unidades extraíbles" . Trend Micro. 26 de diciembre de 2013 . Consultado el 18 de enero de 2014 .
  28. ^ a b "Australianos cada vez más afectados por la marea global de cryptomalware" . Symantec . Consultado el 15 de octubre de 2014 .
  29. ^ "Cryptolocker 2.0 - ¿nueva versión o imitador?" . WeLiveSecurity . ESET. 19 de diciembre de 2013 . Consultado el 18 de enero de 2014 .
  30. ^ "TorrentLocker ahora apunta al Reino Unido con el phishing de Royal Mail" . ESET. 4 de septiembre de 2014 . Consultado el 22 de octubre de 2014 .
  31. ^ "Los estafadores utilizan Australia Post para enmascarar los ataques de correo electrónico" . Sydney Morning Herald . 15 de octubre de 2014 . Consultado el 15 de octubre de 2014 .
  32. ^ "Ataque de ransomware golpea la estación de televisión del aire" . CSO . 7 de octubre de 2014 . Consultado el 15 de octubre de 2014 .

Obtenido de " https://en.wikipedia.org/w/index.php?title=CryptoLocker&oldid=1037680515 "
Contribute a better translation