Terrorismo, encriptación y como no perder tu trabajo esta semana

Comenzaré por el final: para no perder tu trabajo esta semana (si trabajas en el área de sistemas) lleva a cabo un BackUp de tu data crítica. Hace unos días, mientras trabajaba en una instalación de un software de seguridad para una empresa en Puerto Rico, uno de los administradores de sistemas me llevó una laptop de una usuaria con un mensaje que había aparecido esa mañana, algo así:

CTB Locker20

Esto es como la crónica de una muerte anunciada, con la diferencia de que la sangre y el drama no son en un pueblito inventado por García Márquez, sino en el datacenter de una empresa. Durante 2014 hubo un aumento considerable en ataques informáticos a través de adjuntos (attachments) en el correo electrónico: avisos (falsos) del IRS, UPS, notificaciones de Fax, etc., algunos realizados con la calidad suficiente para engañar a un usuario no experto o con poco tiempo para revisar cada uno de los correos en su Inbox (es decir, la mayoría de nosotros).

Muchos de esos ataques tuvieron consecuencias espectaculares con miles de millones de datos robados, impacto mediático, etc., pero otros aparentemente (y esto es solamente mi opinión de acuerdo a los reportes corriendo este mes) fueron un ataque de “espera”, es decir, adjuntos que al ser ejecutados instalaron un código que posteriormente abrió algunos puertos y conexiones, se reportaron con su “master” y quedaron en animación suspendida esperando órdenes o el momento indicado para atacar (como un huevo de Alien)

El resultado es que el atacante gana control de una gran cantidad de máquinas “zombies” que pueden ser vendidas en Internet para generar más ataques o, en el caso de ataques tipo “Ransomware – secuestro de archivos” pueden recibir instrucciones para descargar y ejecutar un software que buscará archivos personales (bases de datos, hojas de cálculo, procesadores de texto, imágenes, etc.,) y los encriptará, con lo que serán inaccesibles para el usuario.

Las noticias durante el mes de enero relacionadas al CTB locker 2.0 son alarmantes, y un buen artículo que habla al respecto es este que encontré en el NY Times:

http://www.nytimes.com/2015/01/04/opinion/sunday/how-my-mom-got-hacked.html?_r=0

“…the Sheriff’s Office of Dickson County, Tenn., recently paid a CryptoWall ransom to unlock 72,000 autopsy reports, witness statements, crime scene photographs and other documents.”

“…ransomware hackers have tested the market with prices as low as $100 and as high as $800,000, which the city of Detroit refused to pay in order to have its database decrypted”

Y por supuesto, en este tipo de ataques, al igual que en el secuestro, las víctimas lo que menos quieren es publicidad, por lo que seguramente la cantidad de casos reportados son apenas la punta del Iceberg.

Una vez que los archivos se encuentran encriptados la única manera de desencriptarlos (volverlos accesibles) es con la llave de encriptación, la cual obviamente se encuentra en poder de los delincuentes. Si el rescate no es pagado la llave es borrada y los archivos se pierden para siempre, ya que utilizar un ataque de fuerza bruta para tratar de desencriptar estos archivos es imposible en términos prácticos, mientras esto sucede la máquina infectada muestra una cuenta regresiva con el tiempo de vida que les queda a nuestros archivos. El pago debe de ser realizado dentro de ese lapso de tiempo y en mi ejemplo la cantidad solicitada era de 2 Bitcoins (+/- $250.00 USD cada uno). La buena noticia es que por las leyes de oferta y demanda si uno realiza el pago es casi seguro que recibirá la llave de encriptación, ya que a los delincuentes les conviene que corra la voz de que son gente “de palabra”, la mala noticia es que ese dinero va directamente a financiar al crimen organizado o a grupos terroristas.

¿Qué hacer al respecto? Para usuarios caseros la prevención es bien fácil:

– Mantener al día y con todos los parches de seguridad los sistemas operativos

– Mantener activado y actualizado el antivirus

– Mantener un backup actualizado en un disco duro externo de nuestra data (pero mantenerlo desconectado de los equipos mientras se erradica el virus)

– Y por supuesto, sentido común (entiéndase no ejecutar un archivo adjunto Abreme.ZIP)

Para los usuarios empresariales, además de lo anterior, hay que tener en cuenta que la mayor amenaza en este tipo de ataques son las carpetas compartidas, ya que el malware buscará todas las carpetas a las que el usuario infectado tiene acceso en la red y encriptará su contenido, por lo que si el usuario es un administrador con acceso a todo, todo será encriptado, incluidas bases de datos.

Hay por desgracia tantos vectores de ataque en el mundo empresarial que ni siquiera intentaré hacer una lista de ellos, pero independientemente de políticas y productos de seguridad el mejor consejo que se me ocurre es: “Deja lo que estés haciendo y haz un BackUp de tu data ahora mismo”. El malware como tal es bien fácil de eliminar, pero el daño causado es irreversible.

¿Y qué pasó con mi cliente? Afortunadamente no hubo grandes consecuencias, más allá de perder la data de una laptop y algunos archivos “share”, un equipo de trabajo se dedicó a actualizar sistemas operativos y seguridad en equipos críticos mientras otro generó backups de emergencia de la data en los sitios más vulnerables.

No se pagó ningún rescate y aunque todavía no se puede asegurar que la amenaza no existe, se ganó tiempo para comenzar a implementar soluciones y planes para enfrentarla.

Link del “United States Computer Emergency Readiness Team” acerca de este tipo de amenazas y mejores prácticas:

https://www.us-cert.gov/ncas/alerts/TA13-309A

Link de FireEye – Fox IT Scanner donde ofrecen desencriptar los archivos (no lo he comprobado):

https://www.decryptcryptolocker.com/

Búsquedas en Google:

ctb locker 2.0

Cryptowall

Cryptolocker

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s