¿Qué es un CryptoLocker?

CryptoLocker es un género de malware que encripta todos aquellos ficheros, archivos, documentos o equipos informáticos, hasta que sean desbloqueados por el “ciberdelincuente”.

CryptoLocker es de momento una pieza muy conocida de malware que puede ser en especial perjudicial para cualquier organización basada en datos. En el momento en que el código se ha ejecutado, cifra los ficheros en los escritorios y recursos compartidos de red y «los secuestra para el rescate». Si algún usuario intenta abrir el fichero se le solicitará abonar una tarifa, un rescate, para descifrarlos. Por tal razón, CryptoLocker y sus variaciones han llegado a ser conocidos como «ransomware.

Malware como CryptoLocker puede entrar en una red protegida por medio de muchos vectores, incluyendo e-mail, sitios de intercambio de ficheros y descargas, sitios web, etc.

Un Cryptolocker puede afectar de forma severa a una empresa, a su imagen, su sitio web, dejándolo inservible y afectando incluso a la visibilidad en buscadores.

Aparte de limitar el alcance de lo que un host infectado puede corromper por medio de la retención de los controles de acceso, se aconsejan controles de detección y protección como una primera línea de defensa.

¿Qué hace CryptoLocker?

En la ejecución, CryptoLocker empieza a examinar las unidades de red asignadas a las que está conectado el host: carpetas y documentos, cambia el nombre y cifra las que tiene permiso para alterar, determinado por las credenciales del usuario que ejecuta el código.

CryptoLocker, en muchos casos, emplea una clave RSA de 2048 bits para cifrar los ficheros, y cambia el nombre de los ficheros agregando una extensión, como, “.encrypted”, “.cryptolocker” o bien una combinación de 7 caracteres aleatorios, dependiendo de la variación.

Finalmente, el malware crea un fichero en cada directorio perjudicado que enlaza a una página con instrucciones de descifrado, que requiere un pato por parte de la víctima (en numerosas ocasiones mediante bitcoin).

Los nombres del archivo de instrucciones acostumbran a ser DECRYPT_INSTRUCTION.txt o bien DECRYPT_INSTRUCTIONS.html.

¿Cómo prevenir CryptoLocker?

Cuantos más ficheros tenga acceso una cuenta de usuario, más daño puede producir un malware, por consiguiente, limitar el acceso es una medida de acción prudente, puesto que limitará el alcance de lo que se puede cifrar. Como llegar a un modelo de privilegios mínimos no es una solución rápida, sí es posible reducir la exposición velozmente suprimiendo conjuntos de acceso globales superfluos de las listas de control de acceso.

Conjuntos como «Todos», «Usuarios autenticados» y «Usuarios de dominio», cuando se emplean en contenedores de datos (como carpetas y sitios de SharePoint) pueden exponer jerarquías completas a todos y cada uno de los usuarios de una empresa.

Aparte de ser objetivos de ataque, este conjunto de datos expuestos son muy propensos a ser dañados en el ataque del malware.

En los servidores de ficheros, estas carpetas se conocen como «recursos compartidos abiertos», tanto el sistema de ficheros como los permisos de empleo compartido son alcanzables mediante un conjunto de acceso global.

¿Cómo detectar un CryptoLocker?

Si la actividad de acceso a ficheros se está inspeccionando en los servidores de ficheros perjudicados, estos comportamientos producen un elevado número de acontecimientos abiertos, de modificación y de creación a un ritmo rapidísimo y son bastante simples de percibir con la automatización, lo que da un valioso control de inspección. Por servirnos de un ejemplo, si una sola cuenta de usuario altera cien ficheros en un minuto, es seguro que algo automatizado sucede.

Configurar una solución de supervisión para provocar una alarma cuando se observe este comportamiento puede ser un valioso consejo: IDS, IPS o Firewall de nueva generación.

Dependiendo de la gravedad del CryptoLocker, el cifrado puede ser reversible con un desensamblador en tiempo real, pocos casos, o irreversible.

Consejos de seguridad como prevención del CryptoLocker o ransomware

• Actualizar antivirus y software de protección. Estas soluciones pueden ayudar a advertir algunos géneros de ransomware y eludir que cifre ficheros.
• Estar muy atentos a las estafas de phishing, e-mails de phishing, que son el mecanismo de entrega más usual para el ransomware.
• Mantener copias de seguridad de todos los documentos importantes (es más rápido y más simple recuperar los documentos de un backup, que descifrarlos si se han visto comprometidos en un ataque ransomware).
• Comprometerse a un modelo de cero confianza / privilegios mínimos. Un modelo de privilegios mínimos limita ese acceso sólo a lo que es completamente preciso.
• Supervisar la actividad de los ficheros y el comportamiento del usuario para advertir, alertar y contestar a la actividad potencial de ransomware.
• Y lo más importante, poner en marcha herramientas de ciberseguridad que permitan estar algo más seguro.

La mejor defensa es una buena prevención. Un ataque por medio de un Cryptolocker puede suponer un grave problema para su intimidad, sus datos personales, datos de empresa y el riesgo de ser sancionado por la Agencia Española de Protección de Datos por la posible filtración de información.