El ransomware es un tipo de malware que se caracteriza por bloquear el acceso al sistema o archivos a cambio de un pago. En el blog he comentado varios casos como el de los ciberdelincuentes que hacían mil dólares al día con un ransomware de SMS o el que sobrescribía el MBR y amenazaba con borrar todo el disco duro si no se pagaban 100 dólares.
Pero uno de los que más ha dado que hablar este año simula ser un mensaje de la policía, cuando el usuario se infecta le aparece una advertencia que hace referencia a una actividad ilegal y una multa que debe ser pagada. Todo es falso pero muchos usuarios desprevenidos, por diversas razones, terminan pagando.
Este ransomware se ha traducido en varios idiomas y se encuentra a la venta en foros underground, la siguiente es una captura de una versión que simulaba ser la policía de España:
¿Cómo se propagan estos malwares?
Generalmente las víctimas se infectan sin saberlo al descargar programas de dudosa procedencia o aplicaciones falsas que son propagadas mediante ingeniería social (supuestos plugins, actualizaciones, etc, en el caso de los mil dólares al día lo hacían con reproductores porno falsos).
Las botnets también son utilizadas para ello, una botnet es una red de equipos que se encuentran infectados, si el administrador (botmaster) lo desea u otro ciberdelincuente contrata sus servicios, podrían instalar el ransomware de forma remota.
Otro método que está muy de moda es el uso de crimewares o kits de exploits que infectan los equipos automáticamente aprovechando vulnerabilidades. La siguiente captura publicada por Microsoft en su blog de seguridad resume el funcionamiento de estos kits, en este caso de uno conocido como Blackhole que es utilizado para propagar los “ransomwares policiales”:
Todo comienza con enlaces spam o sitios infectados que dirigen a los usuarios hacia páginas maliciosas, estas páginas bombardean el equipo buscando vulnerabilidades en los plugins (Adobe Reader, Flash, Java) y el sistema operativo… cuando se detecta una vulnerabilidad el malware simplemente se descarga de forma automática y oculta.
Por esto es que siempre se recomienda mantener el sistema y todos los programas actualizados, las vulnerabilidades que estos kits buscan explotar generalmente son conocidas y ya fueron parcheadas por parte de los fabricantes (en algunos casos hace años), es decir que manteniendo todo actualizado se reducen enormemente las probabilidades de infección.
Ver también:
Video: imagen falsa infectando Windows.
BlackHat SEO + Java vulnerable = descarga oculta de troyano.