1 34 Table of Contents 36 124

Segurilatam 018

artículo técnico Ciberseguridad Uso de encriptación asimétrica con algoritmo RSA-2048. Uso de Gateway Web to TOR. Uso de direcciones bitcoin de pago únicas por víctima. Borrado seguro de los archivos ori- ginales. Encriptación de los nombres de los archivos infectados. Encriptación de las unidades extraí- bles. Encriptación de carpetas de red ma- peadas y de Dropbox. WannaCry. Desde 2017, sus principales novedades fueron: Infección masiva sin requerir interac- ción directa de la víctima. Explotación de la vulnerabilidad Eter- nalBlue. Fue el primer ransomware que utilizó la vulnerabilidad EternalBlue, lo que le permitió infecciones masivas con la sola interacción de un usuario. Eso causó muchísimo daño hacia una o varias or- ganizaciones que compartían la red in- formática. La vulnerabilidad EternalBlue utiliza debilidades del protocolo SMB (TCP/UDP 136 al 139 y TCP/445). Proceso de infección Generalmente, el ransomware se distribu- ye mediante mensajes de correo electró- nico con archivos adjuntos, por ejemplo ZIP, que contienen scripts o archivos eje- cutables que se disfrazan como archivos legítimos (por ejemplo, PDF). Estos archi- vos maliciosos se hacen pasar por factu- ras, órdenes de compra, reclamaciones u otras comunicaciones comerciales. Al presionar doble clic en el archivo malicioso, comienza la infección, ins- talándose en la carpeta AppData o en Temp. Una vez infectado un equipo, co- menzará a escanear las unidades de al- macenamiento de la computadora, para identificar los archivos de los datos que va a encriptar, y todas las letras de las unidades en la computadora, incluyen- do unidades extraíbles, unidades ma- peadas compartidas de red y las unida- des mapeadas de Dropbox. Si hay una letra de unidad en el equipo, esta será escaneada para identificar archivos de datos para encriptarlos. Cuando el ransomware identifica un archivo de datos soportado, lo encripta- rá y luego agregará la ruta completa del archivo en una llave de registro de Win- dows. Creará los archivos informativos de la extorsión en cada carpeta en que se encriptan archivos y en el escritorio de Windows. Algunos archivos contie- nen información acerca de lo que suce- dió con los archivos de datos y un acce- so directo del navegador web a la página del servicio de desencriptado asignada. Cuando se ha concluido con el esca- neo del equipo (PC) procede a borrar todas las Volume Shadow Copies del sis- tema. Esto lo hace debido a que se pue- den utilizar para restaurar los archivos encriptados. Una vez que los datos de la computadora han sido encriptados, se desplegarán los archivos que fueron creados en el escritorio de Windows. Estos archivos informan sobre lo que le ha sucedido a los datos e instrucciones de cómo pagar el rescate. En la mayoría de los casos, una vez que el ransomware despliega estos archivos, se eliminan los archivos de la infección, puesto que ya no son necesarios. Generalmente, el ‘ransomware’ se distribuye mediante mensajes de correo electrónico con archivos adjuntos Segundo cuatrimestre 2021 / 35

RkJQdWJsaXNoZXIy ODM4MTc1