Ransomware: qué es y cómo funciona

Este artículo está creado para dar respuesta ante los numerosos ataques que se vienen produciendo en los últimos días en empresas, sobre todo. Son numerosas las fuentes técnicas consultadas y esperamos que sirva para aclarar un poco acerca de “a qué” nos enfrentamos y “cómo tratarlo”.

De su traducción del inglés, Ransom significa “rescate”. Es un virus informático diseñado para secuestrar los archivos de los Sistemas y pedir dinero a cambio de devolverle a la víctima su contenido. Una de las variantes del mismo es conocida con la denominación de CryptoLocker y consiste en el cifrado de la información de los archivos. A cambio de descifrar los archivos se pide dinero a la víctima.

Los accesos que utilizan estos virus son los habituales: a través de los mails, páginas webs que han sido previamente atacadas o a través de troyanos que se han pre-instalado en nuestro sistema. Las víctimas afectadas suelen ser usuarias del Sistema Operativo Windows.

El Ransomware puede ejecutarse desde un archivo comprimido .ZIP o desde un archivo PDF que es un archivo EXE (ejecutable) al cual se le ha añadido una extensión PDF para pasar más inadvertido a los ojos del usuario.

Una vez en el Sistema, se genera el par de claves “Pública” y “Privada. La clave pública se usa para cifrar los distintos archivos de la víctima mientras que la clave privada quedara en el equipo del cual el atacante posee el control y la misma es la única que podrá descifrar los archivos.

La víctima se da cuenta de lo que está ocurriendo cuando sale en pantalla el mensaje de petición del rescate. Dicho rescate puede ser en dinero o en bitcoins (lo habitual), con lo cual, el problema de la víctima es de mayor gravedad al tener que averiguar cómo obtener Bitcoins para el supuesto de querer realizar el pago.

Qué es el ramsonware - LegalConsultorsMedidas de urgencia antes de que venga la policía

  1. Si el ordenador está encendido, se deberá desenchufar de la corriente eléctrica. En caso de que la evidencia electrónica estuviera en la memoria, se tendría que acceder con una herramienta de extracción de memoria instalada en un PenDrive y tomar nota de la marca, la hora y el minuto en que este PenDrive procede a la realización de esta conexión y extrae la memoria. Después desenchufar el cable de la corriente.

2º  Proceder a la identificación del ordenador donde se encuentra toda la información: Marca del Equip, número de serie, fotografía del mismo, Sistema Operativo que utiliza.

3º Extraer el disco duro. Tomar nota de la marca, modelo, capacidad del mismo y una fotografía del disco duro.

4º Si no se puede clonar sobre la marcha (que es lo que sucederá de forma más probable, proceder a un buen precinto y realizar una fotografía de cómo queda el precinto. Tomar nota sobre el sobre que lo guarde de la referencia que tendrá este depósito (inventare una numeración o referencia), nombrarlo y numerarlo, etcétera y firmarl el sobre. Esperar a la Policía o a proceder al envío con mensajería certificada. Naturalmente tomar nota de la fecha,  la hora y el minuto en que se está procediendo a la realización de todo este trámite.

Si hubiera testigos, hacer un Acta de Presencia con los nombres y apellidos de todos ellos así como su número de Documento de Identidad, la fecha, la hora y el minuto  en que se ha procedido a efectuar el proceso.

Consejos Preventivos

Para prevenir este tipo de ataques ¿podemos tener en cuenta algún tipo de protocolos? Sí, podemos poner en práctica lo siguiente:

1) El backup (copia de seguridad) debería realizarse siempre “offline”, es decir, no conectado a la Red.

2) Utilizar algún tipo de software antiransomware.

3) Utilizar alguna solución de nuestro Anti Virus que contemple la prevención del ataque de Ransomware.

4) Crear filtros de entrada de correo electrónico para bloquear determinadas campañas de Ransomware.

5) Bloquear las direcciones IP y los dominios del Ransomware que ya ha sido identificado.

6) Actualizar los Sistemas Operativos y las Aplicaciones

7) Gestionar los usuarios que tienen acceso al Sistema y Fortificarlo. Limitar los permisos que se le otorgan a los usuarios permitirá que no se instale software no autorizado. Para el caso que nos ocupa, si los demás usuarios no disponen de permisos como Administrador del Sistema, ello hará que no exista permiso alguno para desactivar las denominadas Shadow Copies que los sistemas Windows generan de forma automática y que permitirán restaurar los ficheros a partir de estas copias. La Shadow Copy es una herramienta del Sistema que realiza copias de seguridad de los ficheros cada cierto tiempo, de manera que,  podrá accederse a versiones anteriores de los archivos corruptos o borrados.

8) Configurar las Políticas de Grupo en Windows, consistente en el bloqueo de ejecutables a fin de evitar la propagación por todo el Sistema.

Ransomware - LegalConsultors

¿Se consiguen muchas Sentencias Condenatorias por este tipo de delitos?

Si bien es bastante complicada la localización de los cibercriminales que chantajean a sus víctimas utilizando Ransomware por la ocultación que realizan en sus navegaciones, podemos compartir aquí parte de una Sentencia condenatoria en este sentido, dictada por la Audiencia Nacional en fecha de marzo de 2016.

Sentencia por Ransomware contra Organización Criminal

Sala de lo Penal de la Audiencia Nacional sec. 4ª, S 3-3-2016, nº 14/2016, rec. 2/2016

ANTECEDENTES DE HECHO 

PRIMERO.- Por el Juzgado Central de Instrucción nº 3 se incoaron las Diligencias Previas 70/12, a raíz de las investigaciones llevadas a cabo por la Brigada de Investigación Tecnológica, dependiente de la U.D.E.F., como consecuencia de la investigación realizada a nivel internacional contra el virus troyano conocido como “Ransomware ” que ha afectado a usuarios de varios países, entre ellos, de España, donde más de 300 afectados, repartidos por la geografía española, han recibido mensajes en los que aparece el membrete falsificado de la policía española en sus ordenadores solicitándoles el pago de una cantidad de 100 euros por la presunta comisión de determinados ilícitos, dando lugar a la presentación de las correspondientes denuncias en las que se ha acordado su acumulación y unión a las presentes actuaciones.

SEGUNDO.- El Ministerio Fiscal calificó definitivamente los hechos para los acusados Olegario Gervasio, Horacio Everardo, Cosme Obdulio, Bruno Pablo, Amanda Otilia, Nieves Zulima, Lucia Sonia, Emiliano Eusebio, Encarna Belen y Carlos Ovidio, como constitutivos de los delitos siguientes: 1º.- Un delito continuado de estafa, de los artículos 248, 250.6 º y 74 del código Penal, en concurso medial con el artículo 77, con un delito de daños informáticos del artículo 264, apartados 2 y 3.1 del referido cuerpo legal. 2º.- Un delito de blanqueo de capitales, del artículo 301 del Código Penal. 3º.- Un delito continuado de falsedad en documento mercantil, de los artículos 392.1 y 390.1 º, 2 º y 74 del Código Penal. 4º.- Un delito de pertenencia a organización criminal, del artículo 570 bis, apartados 1 y 2 c) del código Penal y 5º- Un delito contra la intimidad, del artículo 197.2 del Código Penal ; con la concurrencia, en todos los acusados, de la circunstancias modificativas de la responsabilidad criminal de reparación del daño ( artículo 21.5º del Código Penal)  y la analógica de confesión tardía ( artículo 21.7º en relación con la 4ª del Código Penal)

(…) El RANSOMWARE actuaba a en función de parámetros pre- fijados de navegación web, relacionados con la actividad de la víctima a través de la Red, se activaba y ejecutaba bloqueando el equipo informático de las víctimas solicitando el pago de una multa para su desbloqueo. Bajo la apariencia de un comunicado en nombre de diferentes Cuerpos Policiales de los países arriba referenciados, alertaba al usuario que en su ordenador se había constatado un tráfico de datos y de navegación vinculados directamente con diferentes ilícitos penales (pornografía infantil o actividades de terrorismo), induciéndole, a efectuar el pago de la cantidad de 100 euros a través de pasarelas de pago virtuales y anónimas (PAYSAFECARD y UKASH para Europa o MONEYPAK para EEUU), a modo de multa por el ilícito penal presuntamente detectado para con ello conseguir el desbloqueo y el acceso de los datos del equipo informático infectado.

FUNDAMENTOS DE DERECHO 

PRIMERO.- Los hechos así relatados, constituyen a juicio del Tribunal los delitos siguientes: 1º.-Un delito continuado de estafa, de los artículos 248, 250.6 º y 74 del código Penal, en concurso medial con el artículo 77, con un delito de daños informáticos del artículo 264, apartados 2 y 3.1 del referido cuerpo legal. 2º.- Un delito de blanqueo de capitales, del artículo 301 del Código Penal . 3º.- Un delito continuado de falsedad en documento mercantil, de los artículos 392.1 y 390.1 º, 2 º y 74 del Código Penal. 4º.- Un delito de pertenencia a organización criminal, del artículo 570 bis, apartados 1 y 2 c) del código Penal y 5º- Un delito contra la intimidad, del artículo 197.2 del Código Penal , en el que han resultado debidamente acreditados la participación de los acusados a través del reconocimiento de cada uno de los hechos delictivos objeto de acusación tanto en el escrito del Ministerio Fiscal, como en el de la acusación popular.

Así las cosas, entendiendo el tribunal que los hechos objeto de acusación y reconocidos por los acusados se corresponden con las calificaciones efectuadas, procede, de conformidad con lo dispuesto en el artículo 787.2 de la L.E.Crim.  dictar sentencia en los términos aceptados, toda vez que los hechos declarados probados han sido realizados por cada uno de los acusados en los términos expuestos y se corresponden con las calificaciones realizadas.

SEGUNDO.- Concurre en todos los acusados, las circunstancias modificativas de la responsabilidad criminal de reparación del daño, al haber ingresado las responsabilidades civiles interesadas por las acusaciones ( artículo 21.5º del Código Penal)  y analógica de confesión tardía, al haber reconocido en juicio su participación ( artículo 21.7º en relación con la 4ª del Código Penal) .

Lo anterior, motiva la imposición de las penas interesadas para cada uno de los acusados por la acusación pública, en los términos que se exponen en la Parte Dispositiva de la presente resolución.

TERCERO.- En materia de costas, procede imponerlas a los acusados de conformidad con lo dispuesto en los artículos 123 del código Penal (EDL 1995/16398) y 240 de la L.E.Crim.  (…)

VISTOS los citados preceptos y demás de general y pertinente aplicación

FALLO 

QUE DEBEMOS CONDENAR Y CONDENAMOS a los acusados Olegario Gxxx, Horacio Exxxx, Cosme Oxxxx, Bruno Pxxxx, Amanda, Nieves Zxxxx, Lucia Sxxxx, Emiliano, Encarna  y Carlos, como autores de los delitos que a continuación se indican, con la concurrencia, para todos ellos, de las circunstancias modificativas de la responsabilidad criminal de reparación del daño y la analógica de confesión tardía, a las penas siguientes: (… leer Sentencia aquí)

 

¿Podemos prevenir o detener el proceso del Ransomware?

Aquí os dejamos una herramienta de Software AntiransomwareAnti Ransom de Security Projects de OpenSource

Para los técnicos que quieran profundizar más, existe esta herramienta denominada AntiRansom herramienta capaz de detectar y detener los ataques de ransomware utilizando Honeypots (sistemas trampa). Es una herramienta para evitar la propagación del ransomware por todo el sistema.

Anti Ransom crea una carpeta como señuelo que contienen varios documentos inútiles en formato Excel, PDF, etc..) posteriormente supervisará la carpeta para observar si en ella se ha producido algún tipo de cambio. Cuando detecta que se está produciendo y detiene el proceso que está en marcha en la memoria.

Consulta:

“5 Consejos para luchar contra el ransomware en entornos corporativos Windows

AntiRansom

Ransomware, el chantaje en internet llega a otro nivel”

Ransomware, qué es y cómo funciona el secuestro digital

Consejo General del Poder Judicial, Buscador de Jurisprudencia.

Agradecimientos:

@yjesus – Yago Jesús – http://www.security-projects.com/?Security_Projects

@JagmTwit – José Aurelio García – www.evidencias.es

@apasamar – Abraham Pasamar – http://www.incide.es/

@JosepAlbors – Josep Albors –  www.eset.es