{"id":133,"date":"2019-07-17T14:56:37","date_gmt":"2019-07-17T12:56:37","guid":{"rendered":"https:\/\/blogs.ugr.es\/ciberseguridad\/?p=133"},"modified":"2019-07-17T14:56:37","modified_gmt":"2019-07-17T12:56:37","slug":"ojo-con-los-cryptolockers","status":"publish","type":"post","link":"https:\/\/blogs.ugr.es\/ciberseguridad\/ojo-con-los-cryptolockers\/","title":{"rendered":"Ojo con los cryptolockers"},"content":{"rendered":"

\u00bfQu\u00e9 es un CryptoLocker?<\/strong><\/h1>\n

CryptoLocker es un g\u00e9nero de malware que encripta todos aquellos ficheros, archivos, documentos o equipos inform\u00e1ticos, hasta que sean desbloqueados por el \u201cciberdelincuente\u201d.<\/p>\n

CryptoLocker es de momento una pieza muy conocida de malware que puede ser en especial perjudicial para cualquier organizaci\u00f3n basada en datos. En el momento en que el c\u00f3digo se ha ejecutado, cifra los ficheros en los escritorios y recursos compartidos de red y \u00ablos secuestra para el rescate\u00bb. Si alg\u00fan usuario intenta abrir el fichero se le solicitar\u00e1 abonar una tarifa, un rescate, para descifrarlos. Por tal raz\u00f3n, CryptoLocker y sus variaciones han llegado a ser conocidos como \u00abransomware.<\/p>\n

Malware como CryptoLocker puede entrar en una red protegida por medio de muchos vectores, incluyendo e-mail, sitios de intercambio de ficheros y descargas, sitios web, etc.<\/p>\n

Un Cryptolocker puede afectar de forma severa a una empresa, a su imagen, su sitio web, dej\u00e1ndolo inservible y afectando incluso a la visibilidad en buscadores<\/a>.<\/p>\n

Aparte de limitar el alcance de lo que un host infectado puede corromper por medio de la retenci\u00f3n de los controles de acceso, se aconsejan controles de detecci\u00f3n y protecci\u00f3n como una primera l\u00ednea de defensa.<\/p>\n

\u00bfQu\u00e9 hace CryptoLocker?<\/strong><\/h2>\n

En la ejecuci\u00f3n, CryptoLocker empieza a examinar las unidades de red asignadas a las que est\u00e1 conectado el host: carpetas y documentos, cambia el nombre y cifra las que tiene permiso para alterar, determinado por las credenciales del usuario que ejecuta el c\u00f3digo.<\/p>\n

CryptoLocker, en muchos casos, emplea una clave RSA de 2048 bits para cifrar los ficheros, y cambia el nombre de los ficheros agregando una extensi\u00f3n, como, \u201c.encrypted\u201d, \u201c.cryptolocker\u201d o bien una combinaci\u00f3n de 7 caracteres aleatorios, dependiendo de la variaci\u00f3n.<\/p>\n

Finalmente, el malware crea un fichero en cada directorio perjudicado que enlaza a una p\u00e1gina con instrucciones de descifrado, que requiere un pato por parte de la v\u00edctima (en numerosas ocasiones mediante bitcoin).<\/p>\n

Los nombres del archivo de instrucciones acostumbran a ser DECRYPT_INSTRUCTION.txt o bien DECRYPT_INSTRUCTIONS.html.<\/p>\n

\u00bfC\u00f3mo prevenir CryptoLocker?<\/strong><\/h2>\n

Cuantos m\u00e1s ficheros tenga acceso una cuenta de usuario, m\u00e1s da\u00f1o puede producir un malware, por consiguiente, limitar el acceso es una medida de acci\u00f3n prudente, puesto que limitar\u00e1 el alcance de lo que se puede cifrar. Como\u00a0llegar a un modelo de privilegios m\u00ednimos no es una soluci\u00f3n r\u00e1pida, s\u00ed es posible reducir la exposici\u00f3n velozmente suprimiendo conjuntos de acceso globales superfluos de las listas de control de acceso.<\/p>\n

Conjuntos como \u00abTodos\u00bb, \u00abUsuarios autenticados\u00bb y \u00abUsuarios de dominio\u00bb, cuando se emplean en contenedores de datos (como carpetas y sitios de SharePoint) pueden exponer jerarqu\u00edas completas a todos y cada uno de los usuarios de una empresa.<\/p>\n

Aparte de ser objetivos de ataque, este conjunto de datos expuestos son muy propensos a ser da\u00f1ados en el ataque del malware.<\/p>\n

En los servidores de ficheros, estas carpetas se conocen como \u00abrecursos compartidos abiertos\u00bb, tanto el sistema de ficheros como los permisos de empleo compartido son alcanzables mediante un conjunto de acceso global.<\/p>\n

\u00bfC\u00f3mo detectar un CryptoLocker?<\/strong><\/h2>\n

Si la actividad de acceso a ficheros se est\u00e1 inspeccionando en los servidores de ficheros perjudicados, estos comportamientos producen un elevado n\u00famero de acontecimientos abiertos, de modificaci\u00f3n y de creaci\u00f3n a un ritmo rapid\u00edsimo y son bastante simples de percibir con la automatizaci\u00f3n, lo que da un valioso control de inspecci\u00f3n. Por servirnos de un ejemplo, si una sola cuenta de usuario altera cien ficheros en un minuto, es seguro que algo automatizado sucede.<\/p>\n

Configurar una soluci\u00f3n de supervisi\u00f3n para provocar una alarma cuando se observe este comportamiento puede ser un valioso consejo: IDS, IPS o Firewall de nueva generaci\u00f3n.<\/p>\n

Dependiendo de la gravedad del CryptoLocker, el cifrado puede ser reversible con un desensamblador en tiempo real, pocos casos, o irreversible.<\/p>\n

Consejos de seguridad como prevenci\u00f3n del CryptoLocker o ransomware<\/strong><\/h3>\n