Por Cristián Barría Profesor de la Facultad de Ingeniería de la Universidad Diego Portales.
Cristián Barría.
Ya es conocida por la mayoría de los usuarios una forma maliciosa de emplear la criptografía, denominada “ransomware”, cuya función es encriptar los archivos de un dispositivo para luego cobrar una determinada cantidad de dinero (generalmente bitcoins) con el fin de poder recuperar nuevamente el acceso a la información.
Para infectar los dispositivos tecnológicos, se recurre a diversas herramientas de “ingeniería social”, técnicas sicológicas aplicadas al usuario de manera directa o indirecta para lograr que este revele información sensible o ejecute ciertas acciones útiles, sin estar consciente del empleo malicioso que se le dará y los serios daños a la seguridad de la información que ocasionará.
En la práctica, el método de distribución de este ransomware es sencillo: el usuario recibe un e-mail con la letra “J” inicial en el asunto y una serie de números aleatorios, conteniendo una supuesta factura. El documento se abre y, si están habilitadas las macros de Word, inicia el proceso de infección. Si están inhabilitadas, pide al usuario que las active para poder visualizar el mensaje codificado en el documento.
Las imágenes 1 y 2 muestran el mensaje de correo electrónico usado para distribuir el virus criptográfico Locky.E-mail (con asunto “ATTN: Invoice J-12345678”) y el archivo adjunto infectado (“invoice_J-12345678.doc” ). Este último contiene macros que descargan e instalan el virus bloqueador de equipos Locky en el dispositivo del usuario.
Imagen 1. Cuerpo del correo electrónico con el archivo adjunto malicioso.
Si el usuario habilita las macros, se ejecutará el script que comenzará a descargar el ransomware Locky en la carpeta temporal del dispositivo y así comenzar a cifrar los archivos y renombrarlos con el formato [id_único] [identificador].locky, dejando en las carpetas afectadas un archivo _Locky_recover_instructions. txt, el cual contiene las indicaciones que el usuario deberá seguir para recuperarlos.
Imagen 2. Archivo codificado que solicita habilitar macros.
En este se informa que los archivos han sido cifrados usando los algoritmos RSA-20148 y AES-128, siendo la única manera de recuperarlos el cancelar medio bitcoin, equivalente a alrededor de USD$210, pudiendo apreciarse en la imagen 3.
Los resultados de investigaciones exponen que existen varios programas maliciosos en la categoría ransomware similares a Locky, como por ejemplo, Cryptowall, JobCrypter, UmbreCrypt, TeslaCrypt y DMA-Locker. Todos ellos actúan de la igual forma, salvo por los montos exigidos y los algoritmos de encriptación. Los investigadores señalan que no existe garantía de recuperar los archivos, aun habiéndose efectuado el pago, por lo que entregar el dinero solo apoya al negocio malicioso de los ciberdelincuentes. Por tal motivo, no debiese pagarse por el rescate ni tampoco intentar tomar contacto con los agresores.
Imagen 3. Archivo con las instrucciones para recuperar
los archivos encriptados por el malware.
Lo que sí se debe hacer es concientizar a los usuarios a mantener las actualizaciones de software (aplicativos y antivirus, evitar las redes P2P, verificar adjuntos en e-mail (sobre todo de direcciones sospechosas) y mantener al día los respaldos.
Locky ya ha sido identificado por la mayor parte de productos antivirus, pero el riesgo de infección por este código malicioso continúa latente, pues la mayoría de los usuarios afectados utilizan versiones desactualizadas de Office y de sus antivirus, lo cual los expone a este y otros tipos de malware.