Segurilatam 018

/ Segundo cuatrimestre 2021 34 artículo técnico Ciberseguridad E l ransomware es un virus se- cuestrador que infecta los sistemas de información. Principalmente, Windows. n el caso de las estaciones de usuario, desde Windows XP hasta Windows 2010. Y en lo relativo a los servidores, desde Windows 2000 hasta Windows 2019. El ransomware bloquea el acceso o encrip- ta la información y extorsiona solicitan- do un pago para proporcionar la llave de acceso o desencriptación. Origen del ‘ransomware’ En 1989, el troyano AIDS se distribuyó vía disquete (llamado AIDS Information Introductory Diskette) a una lista de distribución. Fue creado por el doctor Joseph Popp. Reemplazaba el archivo autoexcec.bat y realizaba un conteo de las veces que se había reiniciado el equipo. Cuando llegaba a 90, ocultaba los directorios del disco y renombraba los archivos mediante criptografía si- métrica (una sola llave para encriptar/ desencriptar). Y mostraba la pantalla de extorsión solicitando pagar la cantidad de 189 dólares a PC Cyborg Corporation en un apartado postal de Panamá. Tipos de ‘ransomware’ Existen diferentes tipos de ransomware : Bloqueadores ( lock screen ran- somware ). Bloquean el acceso al sistema operati- vo o navegador de Internet. Se conocen como el virus del policía . Muestran una pantalla customizada para el país del usuario afectado e indican que el equipo (PC) o navegador de Internet fueron blo- queados por el cuerpo de seguridad lo- cal al haber detectado un software ilegal o por distribuir pornografía o pedofilia. Algunas versiones toman el control de la cámara y obtienen una foto del usuario, la cual es agregada en la pantalla de ex- torsión para generar mayor miedo sobre la víctima. Encriptadores ( encrypting ran- somware o filecoders ). Encriptan o codifican los archivos del disco duro. Los ransomware filecoders renombran los archivos y extensiones de los mismos. Los archivos se mantienen en el disco duro, el problema que gene- ran es que, al no conocer el nombre y sobre todo la extensión del archivo, hace muy complicado poder acceder a la in- formación. Los encrypting ransomware generan una copia encriptada de los ar- chivos. Una vez generada la copia, pro- ceden a borrar los archivos originales. Evolución del ‘ransomware’ El ransomware continúa en constan- te evolución e innovación para causar daño. En versiones de encrypting ran- somware , a partir de 2015 se agregaron funcionalidades para causar más daño: la codificación de los nombres de los ar- chivos, borrado seguro de los puntos de restauración del sistema y de las s hadow copies , la encriptación de las unidades físicas y mapeadas en red. Hasta ese momento solo era afectado el equipo de la víctima que ejecutó el virus y las unidades de red que tuviese mapeadas (daño puntual). En 2017, la NSA fue vulnerada por el grupo The Shadow Brokers. Les fueron robadas herramientas que utilizaban ellos para hackear los sistemas. Estas herramientas fueron divulgadas y apro- vechadas por grupos delincuenciales, agregando a las funcionalidades la ca- pacidad de infectar a más de un equipo mediante vulnerabilidades del protocolo SMB (daño masivo). A partir de 2020, los ataques de ransomware han evolu- cionado, se han vuelto personalizados y dirigidos hacia organizaciones, apro- vechando las cadenas de confianza del software y de los fabricantes y proveedo- res del mismo. Entre los ataques de ransomware des- tacan los siguientes: CryptoWall. Data de 2014 y sus principales noveda- des fueron: ‘Ransomware’: definición, origen, tipos, evolución y proceso de infección M auricio C astaños V icepresidente del G rupo de C ybersecurity de la A sociación M exicana de I nstituciones de S eguros (AMIS)