El Negocio del Ransomware y Medidas reactivas frente ataques. Eduardo Javier Sánchez Toril. Ángela María García Valdés. Víctor García Font

Transcripción

1 El Negocio del Ransomware y Medidas reactivas frente ataques Eduardo Javier Sánchez Toril Máster Seguridad de las Tecnologías de la Información y de las Comunicaciones Cibercrimen: Ransomwares Nombre Consultora: Ángela María García Valdés Nombre Profesor responsable de la asignatura: Víctor García Font 4 de junio de 2019

2 Eduardo Javier Sánchez Toril Reservados todos los derechos. Está prohibido la reproducción total o parcial de esta obra por cualquier medio o procedimiento, comprendidos la impresión, la reprografía, el microfilme, el tratamiento informático o cualquier otro sistema, así como la distribución de ejemplares mediante alquiler y préstamo, sin la autorización escrita del autor o de los límites que autorice la Ley de Propiedad Intelectual. 1

3 FICHA DEL TRABAJO FINAL Título del trabajo: Nombre del autor: Nombre del consultor/a: Nombre del PRA: Fecha de entrega (mm/aaaa): Titulación: Área del Trabajo Final: Idioma del trabajo: Palabras clave El Negocio del Ransomware y Medidas reactivas frente ataques Eduardo Javier Sánchez Toril Ángela María García Valdés Víctor García Font 06/2019 Máster Seguridad de las Tecnologías de la Información y de las Comunicaciones Cibercrimen: Ransomwares Español ransomware, cibercrimen, malware Resumen del Trabajo (máximo 250 palabras): Con la finalidad, contexto de aplicación, metodología, resultados y conclusiones del trabajo. El objetivo del trabajo es analizar en profundidad la industria del ransomware, conociendo los diferentes tipos que existen, su modus operandi y las vulnerabilidades que aprovechan para llevar a cabo su ataque. Veremos inicialmente un histórico desde los primeros ransomware existentes hasta los más actuales, clasificando todos los tipos según la forma de ataque. Otro de los objetivos es ver cuales son las vulnerabilidades más usadas que aprovechan los 2

4 cibercriminales. Además veremos los aspectos legales relacionados y las medidas tanto reactivas como proactivas que bajen nuestro riesgo de infección, esto es muy importante ya que se está utilizando un modelo de negocio que cualquier persona sin conocimientos puede infectar a cientos de usuarios y obtener beneficios. Por último crearemos un laboratorio y haremos pruebas con muestras reales de ransomware para llevar a cabo un proceso de análisis y ver cómo funcionan internamente. En definitiva, tener un amplio conocimiento conocimiento tanto a nivel usuario como a nivel técnico de la forma de actuar frente a este tipo de ataques. Abstract (in English, 250 words or less): The aim of this project is analyse deeply the ransomwsre industry, to find out/ discover the different types in the market. As well as to understand how they work and the vulnerabilities they use to perform/carry out the attack. Firstly, we will go through the history, starting from the first ransomwares until get to the current ones. Furthermore, these will be classified according to the way of attack/attempt. Secondly, another objective is to identify the most used vulnerabilities by cybercriminals. Moreover, we will see the legal feature of the ransomware and the reactive and preemptive actions to take to decrease our risk of infection. Finally, a laboratory will be created to test real samples of ransomware, to carry out the process of analysing with the purpose of seeing how it works internally. In conclusion, te target is to get a wide knowledge of the way to act either user level or technical level facing these types o attacks. 3

5 ÍNDICE 1. Introducción Contexto y justificación del Trabajo Objetivos del trabajo Enfoque y método seguido Planificación del trabajo Breve descripción de los otros capítulos de la memoria Historia del Ransomware Tipos de Ransomware Clasificación de ransomware según tipo de ataque Lockscreen Tox Hoax Jigsaw Filecoder Wiper Locker Ransomware en la nube Ejemplos de Ransomware Revetón (Principios 2012) CryptorBit (Febrero 2014) Cryptowall (Septiembre 2014) SimpleLocker (Junio 2014), Linux.Encoder.1 (Noviembre 2015), KeRanger (Marzo 2016), DMA Locker(Febrero 2016), Locky(Febrero 2016), Cerber(Agosto 2017) y CryptoFortress(Marzo 2015) CTB-Locker (Enero 2015) TeslaCrypt (Febrero 2015) Crysis (Febrero 2016) Petya (Marzo 2016) Maktub (Marzo 2016) MSIL o Samas (Marzo 2016) MM Locker (Abril 2016) CryptXXX (Abril 2016) Black Shades (Abril 2016) RektLocker (Abril 2016) lock8 (Mayo 2016) JuicyLemon (Mayo 2016) Xorist (Mayo 2016) R980 (Julio 2016) Stampado (Julio 2016) Apocalypse (Junio 2016) 25 4

6 FLocker (Junio 2016) RAA (Junio 2016) Kozy.Jozy (Junio 2016) MIRCOP (Junio 2016) Fantom (Agosto 2016) Smrss32 (Agosto 2016) Domino (Agosto 2016) Alma Locker (Agosto 2016) FSociety (Agosto 2016) DetoxCrypto (Agosto 2016) Shark (Agosto 2016) PokemonGo Ransomware (Agosto 2016) LockLock (Septiembre 2016) MarsJoke (Septiembre 2016) CryLocker (Septiembre 2016) CryPy (Octubre 2016) Trojan.Encoder.6491 (Octubre 2016) Spora (Enero 2017) Sanctions (Marzo 2017) PyCL (Marzo 2017) Kirk (Marzo 2017) Karmen (Abril 2017) RensenWare (Abril 2017) Stolich (Abril 2017) WannaCry (Mayo 2017) UIWIX (Mayo 2017) MacRansom (Mayo 2017) WildFire (Junio 2017) PetrWrap (Junio 2017) SyncCrypt (Agosto 2017) EV (Agosto 2017) Anubi (Agosto 2017) RedBoot (Septiembre 2017) BadRabbit (Octubre 2017) DoubleLocker (Octubre 2017) Gibon (Noviembre 2017) GandCrab (Enero 2018) Nuke (2018) Método de operación Vectores de infección Dispositivos Externos 39 5

7 5.1.1 Listado de Dispositivos Activos y No Activos Bloqueo de Dispositivos Externos Lugares Públicos Redes Públicas Información Servicios Expuestos Software Pirata Software Vulnerable Mailing Aspectos legales Modelo de Negocio Attack as a Service(AaaS) Ransomware as a Service(RaaS) Frozr Locker Satan RaasBerry HOSTMAN Ransomware FLUX Ransomware Ransomware Affiliate Network RaaS INPIVX Neutron Group Medida proactivas Medidas reactivas: métodos de recuperación de información frente a ataques NoMoreRansom Restaurando copia de seguridad Servicio AntiRansomware de INCIBE-CERT File Carving POC de análisis de ransomware Análisis estático Análisis dinámico Conclusiones Glosario Bibliografía 78 Anexo A - Preparación máquina de laboratorio 80 Anexo B - Infografía Ransomware onbranding 83 6

8 Lista de Figuras Ilustración 1 - Planificación del trabajo Ilustración 2 - Mensaje del primer ransomware de la historia PC CyborgCorporation Ilustración 3 - Línea del tiempo de los Ransomware Ilustración 4 - Histórico de los Ransomware por WatchGuard Ilustración 5 - Descubrimientos de Ransomware Ilustración 6 - Grafo sobre los Ransomware por EndGame en el periodo Ilustración 7 - Grafo sobre Ransomware en el periodo por F-Secure Ilustración 8 - Herramienta para controlar los dispositivos conectados al equipo Ilustración 9 - Software para bloquear dispositivos USB que se conecten a nuestro PC Ilustración 10 - Motor de búsqueda de dispositivos conectados a Internet (Shodan) Ilustración 11 - Representación gráfica de malware Ilustración 12 - Detalles sobre una vulnerabilidad de Microsoft Office Word Ilustración 13 - Ejemplo de CryptoLocker Ilustración 14 - Ejemplo de famoso famoso Ransomware de la Policía Ilustración 15 - Web para la creación personalizada de un Ransomware Ilustración 16 - Dirección de pago de una cartera BitCoin Ilustración 17 - Servicio web que proporciona Ransomware Ilustración 18 - Opciones de personalización del Ransomware Ilustración 19 - Suscripción por nivel de pago a un servicio de Ransomware (RaasBerry) Ilustración 20 - Resto de niveles de Ransomware de pago (RaasBerry) Ilustración 21 - Suscripción de 2 niveles a un servicio que proporciona Ransomware Ilustración 22 - Descargo de responsabilidad de la web. Ransomware con fines educativos Ilustración 23 - Servicio online que proporciona Ransomware y su código fuente mediante pago Ilustración 24 - Servicio Ransomware gratuito. El creador se lleva un porcentaje de las ganancias. Ilustración 25 - Ransomware gratuito. El autor cobra un porcentaje de las ganancias. Ilustración 26 - Servicio online con diferentes utilidades hacking Ilustración 27 - Equipo infectado por Ransomware. Proporciona información de pago en BitCoin Ilustración 28 - Instrucciones de pago de un Ransomware Ilustración 29 - Listado de equipos infectados Ilustración 30 - Web que ofrece diferentes servicios Hacking Ilustración 31 - Ejemplo gráfico de Ransomware Ilustración 32 - Versión de pago del Ransomware Ilustración 33 - Cartera BitCoin para hacer el pago del Ransomware 7

9 Ilustración 34 - Ejemplo herramienta foremost Ilustración 35 - Imagen de ejemplo de la interfaz de Mandiant Redline Ilustración 36 - Imagen de ejemplo de volatility Ilustración 37 - Imagen de ejemplo de RegistryExplorer Ilustración 38 - Imagen de ejemplo de FTK Imager Ilustración 39 - Imagen de ejemplo de Autopsy Ilustración 40 - Ejemplo de la interfaz de Ghidra Ilustración 41 - Ejemplo de interfaz PEview Ilustración 42 - Web de VIRUSTOTAL Ilustración 43 - Captura de paquetes con Wireshark Ilustración 44 - Software para hacer copias de seguridad del registro de Windows Ilustración 45 - Imagen ejemplo de Process Monitor Ilustración 46 - Archivo infectados con Ransomware Ilustración 47 - Imagen de equipo cifrado con GandCrab Ilustración 48 - Guardando la captura de Red Ilustración 49 - Análisis de la captura con NetworkMiner Ilustración 50 - Información del registro Ilustración 51 - Volcado de Proceso Ilustración 52 - Monitorización de los Procesos Ilustración 53 - Editor Hexadecimal Ilustración 54 - Instalación de BoxStarter Ilustración 55 - Instalación de Chocolatey Instalación 56 - Instalación Boxstarter Instalación 57 - FlareVM Instalación 58 - Entorno de Laboratorio instalado Instalación 59 - Medidas Preventivas por onbranding 8

10 1. Introducción La definición oficial de ransomware no aparece todavía en el diccionario de la real academia de la lengua, pero son muchos los españoles afectados por este malware. Si traducimos la palabra del inglés podremos comprobar que ransom viene de rescate y ware de software, por tanto estamos frente a un software que nos solicita un rescate tras cifrar nuestros datos. Con el siguiente trabajo entenderemos mejor cómo funciona dicho malware y cómo se ha convertido en uno de las mayores amenazas cibernéticas del mundo. 1.1 Contexto y justificación del Trabajo Hoy día en el mundo del Cibercrimen están proliferando mucho los tipos de ataques que podemos denominar como ataques silenciosos, pues van a las altas esferas de las empresas, las cuales no les interesa informar de que han sido atacadas y de que han sufrido una pérdida económica. Un ataque de este tipo además conlleva un alto coste reputacional. Ejemplos como la estafa del CEO o ataques de tipo ransomware les suponen un coste muy importante a nivel económico y a nivel reputacional para la empresa, de ahí que se guarde silencio. En el siguiente trabajo conoceremos cómo ha ido evolucionando el que a día de hoy sigue siendo uno de los ataques más utilizados por el cibercrimen, el ataque mediante ransomware, cómo trabajan, implicaciones legales o las medidas reactivas a tomar para recuperar la información son algunos de los temas que trataremos. 1.2 Objetivos del trabajo Los objetivos que se pretenden cubrir con el siguiente trabajo son los siguientes: Conocer los inicios del Ransomware y cómo ha ido evolucionando. Analizar los diferentes tipos de Ransomware de manera cronológica. Diferenciar entre los diferentes modelos de negocio del ransomware y su forma de trabajo. Conocer cuáles son los vectores de ataques de los cuales hacen uso para efectuar el ataque. Conocer las repercusiones legales de este tipo de ataques y posibles seguros frente a los mismos. Diferenciar entre los diferentes modelos de negocio y su evolución. Aprender los métodos de recuperación de información tras un ataques de ransomware. Conocer los métodos de análisis para cualquier ransomware. 9

11 Ser capaces de manejar un ransomware real y utilizar las herramientas necesarias para analizar su comportamiento. 1.3 Enfoque y método seguido El enfoque del trabajo es recopilar toda la información referente a los diferentes tipos de ransomware, para poder conocer por un lado su evolución y los vectores de ataque utilizados a nivel técnico. Nos interesa también mucho la parte legal, ya que cada vez más se llevan a cabo seguros de ciberseguridad para cubrir este tipo de ataques y las consecuencias legales de los mismos. Y por último nos interesa ser capaces de analizar los diferentes ransomware, así como poder recuperar gran parte de la información afectada por el ataque. 1.4 Planificación del trabajo Todos los puntos a desarrollar en el trabajo se pueden llevar a cabo en paralelo sin problema, ya que no hay ningún punto entrelazado con otro. A continuación mostramos la temporalización: Ilustración 1 - Planificación del trabajo 1.5 Breve descripción de los otros capítulos de la memoria A continuación mostramos una breve descripción de los capítulos que podemos encontrar en el trabajo: Introducción : donde contextualizamos toda la problemática del ransomware y el enfoque que se va a llevar a cabo durante el trabajo, con su correspondiente temporalización. Historia del Ransomware : mostramos diferentes históricos de ransomware llevados a cabo por diferentes empresas y labs. Tipos de Ransomware : aquí haremos diferentes clasificaciones de los ransomware que podemos encontrar en la industria del cibercrimen. Métodos de operación : aquí vemos como trabaja el cibercrimen para llevar a cabo desde la distribución del malware hasta el cobro del dinero en bitcoin. Vectores de infección : mostramos cuales son todos los posibles puntos de entrada del ransomware para llevar a cabo un ataque. 10

12 Aspectos legales : donde veremos las consecuencias legales que suponen este tipo de ataques, veremos algunas sentencias y los artículos del código penal que entran en juego en este tipo de ataques. Modelo de Negocio : veremos cómo ha ido evolucionando la industria del cibercrimen y como se ofrece ransomware a usuarios sin conocimientos y que estos puedan tener un beneficio económico. Medidas proactivas : donde podemos ver diferentes medidas que nos ayudan a evitar infecciones de malware. Medidas reactivas - métodos de recuperación de información frente a ataque s: donde vemos las posibles acciones a realizar una vez estamos infectados para poder recuperar las información. POC de análisis de ransomware : donde haremos una prueba de cómo analizar un ransomware con un laboratorio montado por nosotros. 11

13 2.Historia del Ransomware Para empezar a hablar de la historia del ransomware nos tenemos que remontar a un diciembre del año 1989 donde el medio de distribución fue a través de los suscriptores de una revista y a los asistentes a un congreso sobre el SIDA organizado por la OMS (Organización Mundial de la Salud). En dichos disquetes con la etiqueta AIDS InformationIntroductory donde decía provenir de la PC CyborgCorporation, en realidad no era más que un engaño y cifraba el disco duro de los ordenadores y se pedía un rescate. Ilustración 2 - Mensaje del primer ransomware de la historia PC CyborgCorporation En mayo del 2005 apareció GPCODER (dirigido principalmente a organizaciones rusas), uno de los padres del ransomware moderno, al principio aparecieron como aplicaciones engañosas (conocidas como scareware ) pero rápidamente cambió y empezó a utilizar algoritmos simétricos de cifrado (la clave para cifrar era la misma que la de descifrado), los cuales eran débiles y fáciles de superar, y además dicha clave quedaba escondida en el equipo infectado. Dicho malware se jactaba de usar cifrado PGP para denegar el acceso a los ficheros, pero el análisis del mismo reveló que era un cifrado creado por el autor. Zippo y Archiveus también fueron otros de los primeros. Variantes posteriores de GPCode utilizaron RSA-1024 y AES-256 como algoritmo de encriptación. 12

14 En el año 2010 encontramos Krotten, en el 2012 REVETON (conocido como el virus de la policía)... y un sinfín de variantes que aún siguen creciendo a día de hoy. En las siguientes líneas de tiempo podemos visualizar la evolución de los diferentes tipos de ransomware, que como podemos ver al cabo de los años se han ido creando un mayor número de diferentes tipos de ransomware con mayor sofistificación. Histórico por Carbon Black - Aquí podemos ver un análisis de la famosa página Carbon Black dónde se nos muestra un grafo de desde 1989 hasta Ilustración 3 - Línea del tiempo de los Ransomware Histórico por WatchGuard - Aquí tenemos otro grafo más visual de la página WatchGuard desde 1989 hasta

15 Ilustración 4 - Histórico de los Ransomware por WatchGuard Histórico por Symantec Aquí tenemos otro grafo proporcionado por Symantec desde 2005 hasta Ilustración 5 - Descubrimientos de Ransomware Histórico por ENDGAME

16 Aquí tenemos otro grafo proporcionado por EndGame que nos muestra desde 2013 hasta 2017 la lista de ransomware con información más detallada. s-against-another-global-attack Ilustración 6 - Grafo sobre los Ransomware por EndGame en el periodo Histórico por F-Secure - Aquí tenemos otro grado proporcionado por F-Secure que nos muestra la línea histórica completa de los ransomware proporcionando una información mucho más detallada de los años 2010 y

17 Ilustración 7 - Grafo sobre Ransomware en el periodo por F-Secure 16

18 3.Tipos de Ransomware 3.1 Clasificación de ransomware según tipo de ataque. A continuación vamos a hacer una clasificación de los tipos de ransomware según el tipo de ataque que realiza Lockscreen Tox Hoax Jigsaw Filecoder Wiper Locker Ransomware en la nube Lockscreen El tipo de ransomware Lockscreen se caracteriza por impedir el acceso y el uso del equipo mediante una pantalla de bloqueo, imposibilitando cualquier acción para cerrarla, abrir el administrador de tareas, los navegadores web o cualquier otra parte del sistema. En esta pantalla típicamente se muestra un mensaje donde se explica lo ocurrido y se solicita el pago de un rescate Tox El tipo de ransomware Tox se caracteriza por bloquear y cifrar los archivos, la particularidad es que dicho ransomware se puede encontrar como un kit de ransomware para que cada ciberdelincuente diseñe su propia amenaza de manera personalizada. Estos packs se distribuyen en foros de la deep web mediante un sistema de afiliación, ya que cada desarrollador se lleva una comisión por cada infección exitosa. Se distribuye como la mayoría de ransomware, por correo electrónico o descargas fraudulentas y cifra los archivos alojados en el equipo Hoax El tipo de ransomware Hoax se caracteriza por combinar el secuestro con un engaño, puesto que funciona como un Filecoder pero en realidad no cifra ningún archivo, solamente utiliza técnicas de ingeniería social para asustar a la víctima y provocar el pago. 17

19 3.1.4 Jigsaw El tipo de ransomware Jigsaw se caracteriza por eliminar archivos periódicamente para que la necesidad de pagar un rescate cada vez sea mayor. Cada hora que transcurre sin que la víctima pague el rescate, se elimina un archivo cifrado del ordenador o equipo, haciéndolo irrecuperable, se pague o no por ello. Este malware además elimina un extra de archivos cada vez que las víctimas reinician el equipo y se conectan a Windows Filecoder El tipo de ransomware Filecoder se caracteriza por cifrar archivos del equipo y pide un rescate generalmente en bitcoins para darle usuario la clave de descifrado Wiper El tipo de ransomware Wiper se caracteriza por cifrar archivos del equipo y pide un rescate generalmente en bitcoins para darle usuario la clave de descifrado, pero a diferencia del Filecoder nunca devuelve el acceso a los archivos, directamente los elimina Locker El tipo de ransomware Locker se caracteriza por cifrar los datos en unidades de red mapeadas, incluso cuando éstas no están almacenadas en una red de acceso local. Esta familia de ransomware enumera todas las acciones que se realizan dentro de un protocolo de red abierta SMB y cifrarlas. Esto es, desde archivos compartidos, a impresoras y otros dispositivos externos que estén conectados Ransomware en la nube El tipo de ransomware en la nube se caracteriza por eliminar o sobrescribir las copias de seguridad en la nube. Hace tiempo que el entorno cloud dejó de ser un lugar seguro para almacenar y compartir archivos e información de valor. Las nuevas versiones de ransomware son capaces de atravesar los sistemas de Cloud Computing y de archivos compartidos que los hacen susceptibles al ataque. 18

20 3.2 Ejemplos de Ransomware Revetón (Principios 2012) Revetón es fácil de detectar, ya que se hace pasar un programa de policía. El malware intenta engañar al usuario haciéndole creer que el mensaje que el ransomware le da proviene de la policía. Por eso este virus también se puede llamar el policetrojan o en español El troyano de la policía. El virus informa al usuario del ordenador que la policía desde su sistema ha detectado actividades ilegales. A veces el malware te puede decir que has descargado un software pirateado u otras veces, que se ha detectado que desde tu ordenador ha habido ataques hacia bancos o gobiernos CryptorBit (Febrero 2014) CryptorBit infecta las PC mediante el uso de ingeniería social al hacer que las personas instalen el virus haciéndose pasar por software antivirus legítimo o actualizaciones de software populares como Adobe Flash. Una vez que CryptorBit ha cifrado los archivos, le pide al usuario que instale el Navegador Tor, ingrese su dirección y siga las instrucciones para realizar el pago del rescate. CryptorBit también instala el software de minería Cryptocoin que utiliza la computadora de la víctima para obtener acceso a cuentas de monedas digitales personales y depositar los fondos robados en la billetera digital del desarrollador de malware. Es un virus que se activa cuando se hace clic en los enlaces dentro de los correos electrónicos de phishing, en los sitios web o al abrir archivos adjuntos en los correos electrónicos. Y, al igual que CryptoLocker, una vez que haya infectado el sistema, cifrará sus archivos y los guardará para el rescate hasta que se pague o se agote el tiempo. Los tipos de archivos afectados incluyen archivos de Word, archivos de Excel, Imágenes, Música, Películas, QuickBooks, PDF y todos los demás archivos de datos en un sistema informático. A continuación, la nota de advertencia en la pantalla indica a la víctima que descargue el navegador Tor y acceda a un sitio web oculto en la red Tor, los conocidos hidden services que tienes extensión onion. Para aquellos que no paguen, sus archivos serán dañados irreversiblemente o borrados si el rescate no se paga a tiempo Cryptowall (Septiembre 2014) CryptoWall, un sucesor del ahora desaparecido CryptoLocker, se enfoca en el sistema operativo Windows y se propaga a través de correo no deseado, descargas no autorizadas, campañas de publicidad maliciosa y kits de explotación como Nuclear y Angler. Una vez que se ha ejecutado en un sistema, mantiene la 19

21 persistencia, aumenta los privilegios, destruye todos los puntos de restauración del sistema y elimina todas las Copias de Volumen de Sombra para evitar la restauración de archivos antes de comenzar el proceso de cifrado SimpleLocker (Junio 2014), Linux.Encoder.1 (Noviembre 2015), KeRanger (Marzo 2016), DMA Locker(Febrero 2016), Locky(Febrero 2016), Cerber(Agosto 2017) y CryptoFortress(Marzo 2015) Todos estos ransomware tienen en común que acceden al dispositivo para bloquearlo parcial o totalmente. Funcionamiento: Tres formas de llamar al mismo ransomware, especializado cada uno en un sistema operativo distinto. SimpleLocker escanea la tarjeta SD de modelos con Android en busca de determinados tipos de datos para luego cifrarlos y Linux.Encoder.1 y KeRanger bloquean y cifran los datos instalados en equipos con Linux y macos, respectivamente. SimpleLocker Es un ransomware para dispositivos móviles habilitado para Tor, apunta al sistema operativo Android y se propaga a través de un descargador de troyanos que se hace pasar por una aplicación legítima. Linux.Encoder.1 Apunta a servidores Linux y sitios web basados en Linux, ya que encripta MySQL, Apache y las carpetas raíz. Explota una falla en Magento, una aplicación de sistema de gestión de contenido de código abierto diseñada para sitios de comercio electrónico. Los archivos bloqueados por Linux.Encoder muestran.encrypted como la extensión del nombre del archivo. KeRanger Es un troyano ransomware dirigido a computadoras que ejecutan macos, el ransomware KeRanger funciona como lo hace la mayoría de los ransomware, al cifrar los archivos en su Mac y luego exigir el pago en forma de bitcoin para proporcionarle la clave de cifrado para recuperar sus archivos. DMA Locker Se dirige al sistema operativo Windows y un método conocido de distribución es a través de Escritorio remoto. Una vez que se produce una infección y se ejecuta el archivo ejecutable, DMA Locker finaliza cualquier aplicación utilizada para realizar copias de seguridad de los datos y agrega claves de registro para mantener la persistencia. 20

22 Locky Apunta al sistema operativo Windows y su vector de ataque imita al del conocido troyano bancario Dridex. Se distribuye a través de correos electrónicos de phishing que contienen documentos de Word incrustados con una macro maliciosa. Cerber Cerber determina la ubicación de la víctima. Si la víctima reside fuera de la lista de países "protegidos", Cerber se instala en el % AppData% \ {2ED2A2FE-872C-D4A0-17AC-E301404F1CBA} \carpeta y se nombra a sí mismo después de un ejecutable aleatorio de Windows Luego, configura Windows para que se inicie automáticamente en Modo seguro con funciones de red en el próximo reinicio. CryptoFortress El virus CryptoFortress es un malware de encriptación de archivos que ha estado atacando ordenadores y codificando los archivos personales de los usuarios CTB-Locker (Enero 2015) CTB-Locker fue el primer crypto-ransomware en usar la red Tor para C2. Se dirige a todas las versiones de Windows y, a partir de mediados de 2015, se dirigió específicamente a los usuarios que desean actualizarse al sistema operativo Windows 10. CTB-Locker se propaga a través de descargas drive-by utilizando kits de explotación en páginas web comprometidas, así como correo electrónico no deseado con archivos adjuntos.zip o.cab. La parte de 'Curva' del nombre se refiere al uso de la criptografía de curva elíptica para cifrar archivos TeslaCrypt (Febrero 2015) TeslaCrypt se propaga a través de kits de explotación como Angler, Sweet Orange o Nuclear. Además de analizar todas las unidades del sistema en busca de archivos para cifrar, incluidas las unidades extraíbles, los recursos compartidos de red y las asignaciones de DropBox, TeslaCrypt intenta eliminar todas las copias de Shadow Volume y los puntos de restauración del sistema para evitar la recuperación de archivos. TeslaCrypt también puede detectar si se está ejecutando en un entorno virtual antes de ejecutarse por completo para evitar el análisis por parte de la seguridad y la aplicación de la ley. Los archivos cifrados por TeslaCrypt actualmente muestran las siguientes extensiones:.aaa,.abc,.ccc,.ecc,.exx,.micro,.mp3,.ttt,.vvv,.xxx,.xyz,.zzz. 21

23 3.2.7 Crysis (Febrero 2016) Es un código malicioso del tipo Filecoder que, como su firma lo indica, tiene como fin cifrar información y solicitar el pago de un rescate monetario a cambio de restituirla. Crysis utiliza los cifrados RSA y AES con claves de cifrado largas, lo que hace casi imposible recuperar los archivos procesados. Se distribuye como archivos adjuntos maliciosos en correos electrónicos no deseados y se disfraza como archivos de instalación para software legítimo. Una vez que infecta un sistema, crea entradas de registro para mantener la persistencia y encripta todos los tipos de archivos, con la excepción de los archivos de malware y del sistema, en unidades de red fijas, removibles y CrySiS luego coloca una nota de rescate en el escritorio para la víctima, siempre que haya dos direcciones de correo electrónico que la víctima pueda usar para comunicarse con los atacantes Petya (Marzo 2016) Cifra unidades enteras de archivos. Petya cifra la tabla de archivos maestros, que contiene toda la información sobre cómo se asignan los archivos y carpetas en el equipo Maktub (Marzo 2016) Comprime los archivos antes de cifrarlos. Maktub se distribuye a través de correos spam, con apariencia de archivo adjunto PDF o de editor de texto. Mientras el usuario lo abre, en segundo plano se instala en el equipo, comprimiendo los archivos y cifrándolos. El precio que exige por el rescate suele ser elevado MSIL o Samas (Marzo 2016) MSIL / Samas.A / Samsamse dirige a servidores vulnerables que ejecutan versiones obsoletas de JBoss, un programa de servidor de aplicaciones empresariales de código abierto escrito en Java. Los delincuentes detrás de esta campaña de ransomware usan JexBoss, una herramienta de prueba/explotación de código abierto de JBoss, y regeorg/tunnel.jsp, una herramienta de tunelización, para ingresar a una red específica al buscar y explotar estas vulnerabilidades del lado del servidor. Una vez dentro, entregan la carga útil utilizando psexec.exe y ejecutan samsam.exe para comenzar el proceso de cifrado. Esta variante elimina las Copias de volumen de sombra usando vssadmin.exe y limpia el espacio libre en el disco duro para evitar la restauración de archivos. También incluye una herramienta que recopila detalles de Active Directory para identificar objetivos, lo que le permite moverse lateralmente a través de la red para cifrar archivos en máquinas de punto final. Los archivos afectados por MSIL/Samas.A/Samsam mostrarán cifrado.rsa 22

24 como su extensión. El sector sanitario ha sido específicamente el objetivo de esta variante MM Locker (Abril 2016) Una vez que el sistema está infectado, MM Locker se pone en contacto con su servidor C2 a través de una solicitud POST, transmitiendo el nombre de usuario y el nombre de la computadora de la víctima y una clave de acceso codificada en clave. Luego recibe la cantidad de rescate y un JPG que se mostrará en el sistema infectado, así como la herramienta de descifrado. Una vez que se completa este intercambio, MM Locker señala que el proceso se ha completado mediante el envío de un Identificador de recursos uniforme (URI) con la etiqueta /finished.php. MM Locker encripta una serie de tipos de archivos, incluidos los archivos de impuestos, y agrega.lockeda los nombres de archivo CryptXXX (Abril 2016) CryptXXX secuestra archivos, roba credenciales y pide como rescate 1'2 Bitcoins. Esta amenaza informática se distribuye a través de páginas web que utilizan el Angler kit, un crimeware que se aprovecha de algunas vulnerabilidades para infectar los equipos con Bedep, otro software conocido por tener la capacidad de descargar malware. El usuario ingresa en una página que integra el Angler kit, se infecta con el malwarebedep y, en la segunda etapa, se descarga autónomamente CryptXXX como un archivo DLL con ejecución retardada, es decir, está programado para esperar 62 minutos antes de operar en el ordenador de la víctima Black Shades (Abril 2016) Black Shades pertenece a una familia de ransomware que puede cifrar sus archivos y carpetas con extensiones.silent. Para cifrar los archivos de este ransomware genera tres archivos de texto (versiones "YourID.txt" en inglés y ruso, y "hacked.txt"), para colocarlos en el escritorio. Una vez que se ejecuta en un sistema, elimina las Copias de Volumen de Sombra para evitar la restauración de archivos. Black Shades luego determina la dirección IP de la víctima, crea un ID de víctima único y verifica el acceso a Internet. Si no puede conectarse al sitio web para verificar la dirección IP de la víctima, el programa se bloqueará. Cifra los archivos seleccionados utilizando AES-256 y elimina un archivo que contiene el ID de la víctima, llamado YourID.txt, en cada carpeta. Una vez completado el proceso de cifrado, Black Shades intenta eliminarse del sistema infectado. 23

25 RektLocker (Abril 2016) Utiliza el cifrado RSA-2048 y agrega.rekt a todos los nombres de archivos cifrados. RektLocker crea una nota de rescate con la etiqueta Readme.txt que incluye la dirección de pago de Bitcoin, pero no proporciona ninguna forma de comunicarse con el atacante. Sin un método de comunicación para transmitir la clave de descifrado, los archivos no se pueden descifrar aunque las víctimas paguen el rescate lock8 (Mayo 2016) 8lock8 se basa en HearTear y se distribuye a través de archivos adjuntos maliciosos en correos electrónicos no deseados y redes de intercambio de archivos. Utiliza AES-256 para cifrar archivos y agrega.8lock8 a los nombres de los archivos JuicyLemon (Mayo 2016) JuicyLemon una vez que el sistema está infectado agrega varios valores al registro, cifra tipos de archivos específicos, contacta con su servidor C2 a través de HTTP y luego elimina un archivo.bat que elimina el archivo ejecutable original. JuicyLemon solicita que las víctimas envíen uno de sus archivos cifrados a support@juicylemon.biz o provectus@protonmail.com. Renombra completamente los archivos cifrados a una combinación de un número único de identificación de víctima, una dirección de correo electrónico y una dirección de billetera de Bitcoin. JuicyLemon Xorist (Mayo 2016) Xorist es una familia de ransomware que se enfoca en el sistema operativo Windows y se distribuye como un generador automático de ransomware que permite a los actores de amenazas cibernéticas crear y personalizar su propia versión del malware. Los archivos cifrados por Xorist suelen mostrar las siguientes extensiones, aunque los creadores también pueden personalizar esta función:.enciphered,.73i87a,.p5tkjw y.poar2w. Una vez que el sistema está infectado, Xorist mostrará una nota de rescate que le indica a la víctima que envíe una identificación por SMS a un número de teléfono específico. Una vez que la víctima sigue las instrucciones del atacante, el atacante enviará un código a la víctima por SMS para comenzar el proceso de descifrado R980 (Julio 2016) Utiliza los algoritmos de cifrado AES-256 y RSA-4096 para cifrar 151 tipos de archivos específicos. R980 agrega.crypt a los nombres de archivo cifrados. Crea una clave de registro para mantener la persistencia conectada a su servidor C2 para 24

26 recuperar una dirección de Bitcoin personalizada para el pago. El atacante usa direcciones de correo electrónico desechables de Mailinator para comunicarse con las víctimas Stampado (Julio 2016) Stampado permite que los archivos maliciosos que se enviarán a las víctimas en uno de los siguientes formatos de archivo:.exe,.bat,. dll,.scr, y.cmd. De acuerdo con la demostración en video de los desarrolladores, Stampado no requiere privilegios de administrador para ejecutarse en las máquinas de las víctimas, agrega.locked a los archivos cifrados, y le da a las víctimas 96 horas para pagar el rescate antes de eliminar permanentemente la clave de descifrado. La nota de rescate muestra dos temporizadores de cuenta regresiva: uno que muestra la cantidad de tiempo restante hasta que se elimina la clave de descifrado y otro que muestra la "eliminación del archivo de la próxima ruleta rusa" cuando el malware eliminará aleatoriamente un archivo por cada seis horas que el rescate no se pague Apocalypse (Junio 2016) Apocalypse es un ransomware que encripta archivos. Después de la infiltración del sistema, Apocalypse cifra los archivos de las víctimas y agrega una extensión al nombre de cada archivo cifrado. Utiliza las extensiones.locked y.missing para los archivos cifrados y presentan el mensaje exigente de rescate en el archivo.readme.txt. Por ejemplo, si el archivo anterior al cifrado se llamará sample.jpg, se le cambiará el nombre a sample.jpg.encrypted. Además, este ransomware crea un archivo de texto junto a cada archivo cifrado. Los nombres de archivo de texto están asociados con los archivos cifrados. Por ejemplo, sample.jpg.encrypted.how_to_decrypt.txt FLocker (Junio 2016) FLocker se enfoca en el sistema operativo Android y es capaz de cifrar archivos en televisores inteligentes con Android. Se distribuye mediante enlaces maliciosos que se propagan a través de mensajes SMS o que se encuentran durante la navegación por Internet. Estos enlaces maliciosos conducen a un archivo de aplicación de Android (APK) que procede a descargar e infectar el dispositivo Android de la víctima. Una vez que se instala el APK malicioso, FLocker espera 30 minutos antes de tomar cualquier otra acción. Después de que pase esa media hora, FLocker comienza a pedirle a la víctima que le permita el acceso administrativo al dispositivo. Si la víctima se niega, la pantalla se congela y muestra una alerta de actualización del sistema falso para engañar a la víctima para que le otorgue acceso administrativo al ransomware. Una vez obtenidos los privilegios escalados, FLocker establece comunicación con un servidor C2 para descargar un 25

27 archivo APK adicional y un archivo HTML de nota de rescate con una interfaz de JavaScript habilitada RAA (Junio 2016) RAA se distribuye a través de correos electrónicos que contienen archivos JavaScript disfrazados como documentos adjuntos. Al abrir el archivo malicioso se genera un documento falso de Word en la carpeta "Mis documentos". Posteriormente, RAA identificará todas las unidades conectadas con permisos de escritura abierta, las analizará para tipos de archivos específicos y procederá a cifrarlas con AES utilizando el código de la biblioteca CryptoJS. Los archivos cifrados por RAA muestran.locked como la extensión. Para evitar la restauración de archivos elimina las copias de volumen de instantáneas, así como el Servicio de instantáneas de volumen de Windows. RAA también instala Pony, un troyano que descifra y roba contraseñas, en el sistema infectado Kozy.Jozy (Junio 2016) Kozy.Jozy agrega nuevas extensiones de archivo a su lista de archivos para cifrar antes de establecer el fondo de su víctima en una nota de rescate escrita en ruso. Los archivos, según la nota de rescate, se han cifrado con un RSA Las instantáneas de volumen se eliminan para eliminar posibles copias de seguridad. A la víctima se le proporciona la dirección de correo electrónico del operador con instrucciones para realizar un pago en bitcoins MIRCOP (Junio 2016) MIRCOP se distribuye por correo electrónico el cual contiene un documento malicioso de Word diseñado para parecerse a un formulario de aduanas tailandés. Si el documento se abre y las macros están habilitadas, un script de PowerShell se descarga e instala en la máquina que, a su vez, instala e inicia el ransomware. Una vez ejecutado, MIRCOP coloca los siguientes tres archivos ejecutables en la carpeta %temp%: c.exe (roba información), x.exe e y.exe (cifra los archivos). MIRCOP acusa a la víctima de robar dinero, afirma saber información sobre la víctima y exige un pago de rescate Fantom (Agosto 2016) Fantom su código se basa en EDA2, un proyecto de código abierto de ransomware publicado a principios de Fantom se hace pasar por una actualización crítica de Windows, mostrando una pantalla de actualización de Windows falsa pero convincente para engañar a las víctimas y hacerlas creer que están recibiendo un parche legítimo de Microsoft. Una vez que se muestra la pantalla de actualización, las víctimas no pueden cambiar a ninguna otra aplicación. 26

28 Al presionar Ctrl + F4 se eliminará la pantalla de actualización falsa, pero no detendrá el proceso de cifrado. Fantom cifra los archivos usando AES-128 y agrega la extensión.fantom a los nombres de los archivos. En cada carpeta, deja una nota de rescate llamada DECRYPT_YOUR_FILES.HTML.Una vez que finaliza el proceso de cifrado, Fantom crea dos archivos por lotes que eliminan las Copias de Volumen de Sombra y el ejecutable de actualización de Windows falso, WindowsUpdate.exe Smrss32 (Agosto 2016) Smrss32 se identifica como CryptoWall aunque no es tan sofisticado. Afecta a 6,674 tipos (extensiones) de ficheros. Utiliza un algoritmo de cifrado simétrico AES y agrega.encrypted a los nombres de archivo cifrados Domino (Agosto 2016) Se hace pasar por un archivo de instalación de un crack de activación de Windows KMSPico. Cuando se ejecuta, coloca un archivo de nombre aleatorio en la carpeta %Temp% que luego extrae un archivo zip protegido por contraseña llamado Help.zip. La contraseña para este archivo ZIP es abc y, dentro de él, hay dos archivos adicionales: help.exe, que inicia el proceso de cifrado, y HelloWorld.exe, el ejecutable responsable de generar la nota de rescate. Los archivos cifrados mostrarán la extensión de archivo.domino Alma Locker (Agosto 2016) Alma Locker una vez ejecutado, se dirige a archivos específicos y los cifra utilizando AES-128. Alma Locker crea un ID de víctima exclusivo de 8 caracteres combinando el número de serie de la unidad C:\ y la dirección MAC de la primera interfaz de red. Agrega una extensión aleatoria de 5 caracteres a los nombres de archivos cifrados. Alma Locker afirma que permite a sus víctimas descifrar los archivos de prueba de forma gratuita, pero el enlace para descifrar actualmente conduce a un error interno del servidor FSociety (Agosto 2016) El código de FSociety se basa en EDA2, un proyecto de código abierto de ransomware publicado a principios de Su imagen de nota de rescate contiene el logotipo del grupo de hacking ficticio presentado en el programa de televisión, Mr. Robot. Los investigadores de seguridad que descubrieron esta variante notaron que parece estar en las primeras etapas de desarrollo y que no se está distribuyendo activamente, ya que no se encontró texto de nota de rescate o información de contacto y solo se dirige a una carpeta de prueba en el escritorio de Windows. FSociety agrega.locked a los nombres de archivos cifrados. 27

29 DetoxCrypto (Agosto 2016) Actualmente hay dos versiones de esta variante. Una versión se inicia desde un ejecutable llamado Pokemongo.exe y tiene una nota de rescate con el tema de Pokémon. Otra versión, llamada Calipso, se inicia desde un ejecutable llamado calipso.exe y muestra una imagen de una computadora encadenada con una pila de monedas, junto con un texto de nota de rescate genérico. Los ejecutables de DetoxCrypto residen dentro del ejecutable de distribución principal, junto con un archivo de audio, un archivo de imagen de fondo de pantalla y un archivo llamado MicrosoftHost.exe Que realiza el proceso de cifrado. Ninguna de las dos versiones agrega una extensión a los nombres de archivos cifrados. Calipso se distingue de otras variantes porque toma una captura de pantalla de la máquina infectada de la víctima y la manda al atacante Shark (Agosto 2016) Shark se ofrece como un kit de Ransomware-as-a-Service (RaaS) a través de un sitio web de WordPress en la Surface web completamente accesible al público. El kit de ransomware está en un archivo ZIP llamado PayloadBundle.zip que contiene un generador de configuración llamado PayloadBuilder.exe, un fichero con una advertencia al distribuidor llamado Readme.txt y el archivo ejecutable de ransomware, Shark.exe. El generador de configuración permite a los distribuidores elegir qué carpetas y archivos cifrar, a qué países dirigirse y qué dirección de correo electrónico usar para recibir notificaciones después de que las víctimas estén infectadas. Shark añade.locked a los nombres de archivos cifrados PokemonGo Ransomware (Agosto 2016) El ransomware PokemonGo se hace pasar por una aplicación de PokemonGo para Windows. Utiliza el cifrado AES y agrega.locked a los nombres de archivo cifrados. También instala una puerta trasera, crea una cuenta de administrador con la etiqueta "Hack3r" en el sistema infectado, y luego modifica el registro para ocultar la cuenta recien creada. A continuación crea recursos compartidos de red y distribuye su archivo ejecutable a otras unidades. Además crea y coloca un archivo Autorun.inf en cada unidad para garantizar que el ejecutable se inicie cuando la víctima inicie sesión en Windows o cuando la unidad extraíble infectada se inserte en otro sistema LockLock (Septiembre 2016) LockLock cifra los archivos usando AES-256 y agrega.locklock a los nombres de los archivos cifrados. Solicita que la víctima se ponga en contacto con el atacante por correo electrónico o skype en las direcciones que figuran en la nota de rescate. 28

30 MarsJoke (Septiembre 2016) Se distribuye a través de correos electrónicos no deseados que utilizan marcas fraudulentas de compañías aéreas legítimas y compañías de envíos. Esta campaña de spam se dirige principalmente a las agencias gubernamentales estatales y locales de los EEUU, así como a las instituciones educativas. El asunto del mensaje suele incluir cosas como: verificar el número de seguimiento, verificar su paquete,verificar su TN,verificar su número de seguimiento, información de seguimiento o realizar un seguimiento de su paquete. Estos correos electrónicos contienen enlaces maliciosos que al hacer clic descargan un archivo ejecutable llamado file_6.exe al sistema de la víctima. Una vez que se ejecuta, MarsJoke comienza a cifrar los archivos inmediatamente aunque no cambia el nombre o la extensión del archivo. Una vez que se completa el proceso de cifrado, se modifica el fondo del escritorio de la víctima y se muestra una nota de rescate. MarsJoke amenaza con eliminar la clave de descifrado si el rescate no se paga dentro de las 96 horas CryLocker (Septiembre 2016) CryLocker recopila información como la versión del sistema operativo Windows, el tipo de ejecución de las instrucciones (32 o 64 bits), el paquete de servicio actual, los nombres de usuario y equipo, así como el tipo de CPU. Esta información luego se envía a través de UDP a 4096 direcciones IP diferentes, una de las cuales es un servidor C2. CryLocker también guarda esta información así como una lista de los archivos cifrados de la víctima en un archivo PNG falso y lo carga en Imgur.com. Luego, Imgur responde con un nombre de archivo único que CryLocker transmite a través de UDP a las 4096 direcciones IP, notificando a su servidor C2 que se ha producido una nueva infección. CryLocker también usa la función WlanGetNetworkBssList del sistema de la víctima para obtener una lista de redes de área local inalámbricas cercanas (WLAN), establecer identificadores de servicio (SSID) y luego consulta la API de Google Maps para determinar la ubicación de la víctima. CryLocker realiza una copia de seguridad de ciertos accesos directos en el escritorio de la víctima y los almacena en una carpeta llamada old_shortcuts, cuyo propósito actualmente es desconocido. Borra las copias de Shadow Volume y cifra los archivos apuntados, agregando.cry a cada nombre de archivo cifrado. Para mantener la persistencia crea una tarea programada con un nombre aleatorio que se inicia cuando la víctima inicia sesión en el sistema CryPy (Octubre 2016) Encripta los archivos usando AES-256 y renombra los archivos cifrados que comienzan con las letras CRY, seguidos de una larga cadena de caracteres 29

31 aleatorios, y añadiendo.cry al nuevo nombre de archivo. El servidor C2 de CryPy es responsable de generar cada nuevo nombre de archivo y una contraseña aleatoria de 32 caracteres para cada archivo cifrado. Esto requiere que CryPy inicie una conexión con el servidor después de que cada archivo esté cifrado, lo que retrasa el proceso de cifrado pero también protege las claves y la rutina de generación de claves de los adversarios del atacante Trojan.Encoder.6491 (Octubre 2016) Trojan.Encoder.6491 es la primera variante de ransomware de la que se tiene constancia que está escrita en Go, el lenguaje de programación desarrollado por Google. Su método de distribución es actualmente desconocido. El archivo ejecutable malicioso de Encoder se llama Windows_Security.exe. Tiene por objetivo 140 tipos de archivos diferentes y los cifra utilizando AES-256. El ransomware incluso codifica los nombres de los archivos utilizando Base64 y luego agrega.enc a los archivos. Revisa regularmente la cartera de Bitcoin del atacante para determinar si la víctima ha efectuado el pago y si lo ha hecho el ransomware descifra los archivos automáticamente Spora (Enero 2017) Spora solo afecta a los usuarios rusos y se hace pasar por una factura de 1C, una compañía rusa de software de contabilidad. El archivo intenta engañar al usuario para que crea que es un archivo PDF cuando en realidad es un archivo HTA. Si se abre, el archivo HTA crea un nuevo archivo JavaScript en la carpeta %TEMP%, escribe un script codificado en él y luego lo ejecuta. El archivo JavaScript está cifrado y confuso para evadir la detección y ocultar el ejecutable de malware Sanctions (Marzo 2017) Su método de distribución es actualmente desconocido. Se añade.wallet los nombres de archivos cifrados y deja caer una nota de rescate llamado RESTORE_ALL_DATA.html en los sistemas infectados. Actualmente, los cibercriminales detrás de la campaña están vendiendo la clave de descifrado de 6 Bitcoin y dirigiendo a las víctimas a la plataforma Satoshi Box para que envíen los pagos PyCL (Marzo 2017) PyCL está escrito en el lenguaje de programación Python y cuando se ejecuta su instalador, extrae los archivos del tutorial a la carpeta %AppData\Roaming\How_Decrypt_My_Files. También extrae los componentes de Python a la carpeta %AppData%\cl.PyCL, luego establece una conexión a su servidor C2 y posteriormente ejecuta cl.exe, un script de Python compilado en un 30

32 ejecutable, que comienza a cifrar los archivos en el sistema infectado. Comprueba los privilegios administrativos en la cuenta de usuario y, si está disponible, procede a eliminar las Copias de Volumen de Sombra utilizando vssadmin.exe para evitar que la víctima restaure el archivo. Luego, PyCL se pone en contacto nuevamente con su servidor C2 para transmitir detalles del sistema infectado, como la versión del sistema operativo Windows, el nombre de usuario y la disponibilidad de privilegios administrativos en la cuenta asociada, la resolución de la pantalla, la arquitectura del procesador y la dirección MAC del adaptador de red. El servidor C2 transmite una clave de cifrado RSA-2048 pública Kirk (Marzo 2017) Su método de distribución es actualmente desconocido. El archivo ejecutable del ransomware, llamado loic_win32.exe, se hace pasar por la aplicación de código abierto de denegación de servicio (DoS), Low Orbit Ion Cannon. Cuando se inicia, Kirk busca 625 tipos de archivos, los cifra utilizando una clave AES y luego la cifra utilizando una clave pública RSA-4096 incorporada, que luego guarda en un archivo llamado pwd, ubicado en el mismo directorio que el archivo ejecutable de Kirk Karmen (Abril 2017) Es un Ransomware as a Service(RaaS). Una vez que los clientes compran una membresía para usar Karmen para ejecutar una campaña, pueden acceder a su panel de control a través de un sitio web alojado en la Dark Web y personalizar varias características como el precio de rescate y la dirección de correo electrónico de contacto, así como monitorear y mantener una lista de Víctimas, pagos, carteras y bitcoins. Karmen cifra los archivos mediante AES-256 y cuenta con la capacidad de detectar software de análisis, máquinas virtuales y entornos de espacio aislado. También elimina su propio cargador y archivo ejecutable después de que se recibe el pago y elimina su herramienta de descifrado si se detecta una zona de pruebas en el sistema infectado RensenWare (Abril 2017) RensenWare fue creado como una "broma" por su desarrollador y nunca fue diseñado para su distribución, ya que fue diseñado para ofrecer una demanda de rescate única. Las víctimas infectadas por RensenWare originalmente necesitaban jugar un juego llamado "TH12 ~ UndefinedFantasticObject" y alcanzar un puntaje superior a los 0,2 mil millones en el nivel "Lunatic" para descifrar sus archivos. RensenWare escanea un sistema para tipos de archivos específicos y los cifra utilizando AES-256, añadiendo.rensenware a los nombres de archivo. Una vez que se completa el proceso de cifrado, muestra una nota de rescate con el personaje "Capitán MinamitsuMurasa" de la serie de juegos Touhou Project y la 31

33 inusual demanda de rescate. Cualquier víctima que cierre el sistema infectado o no complete la demanda de rescate pierde permanentemente la clave de descifrado. Para monitorear la puntuación del juego, RensenWare busca un proceso llamado "th12" y lee la memoria del proceso para determinar el nivel del juego y la puntuación alcanzada. Si se ha alcanzado la puntuación de 0,2 mil millones de puntos, RensenWare guarda la clave de descifrado en el escritorio del sistema y descifra los archivos Stolich (Abril 2017) MalwareHunterTeam descubrió que la muestra cargada de Stolich, basada en código de código abierto, estaba ofuscada con una versión de evaluación de CryptoObfuscator, una herramienta utilizada por los desarrolladores de software para evitar que otros vean o analicen el código del programa. Dado que el código de Stolich está disponible para su descarga en GitHub, los investigadores dedujeron que alguien podría estar usando el código para crear una nueva versión para infectar a las víctimas y generar ganancias. Al día siguiente, el 4 de abril, otro investigador descubrió LMAOxUS, una versión de Stolich que venía con un lanzador de Minecraft. LMAOxUSagrega.lmao a los nombres de archivos cifrados WannaCry (Mayo 2017) WannaCry ataca a las redes usando SMBv1, un protocolo que ayuda a los equipos a comunicarse con las impresoras y otros dispositivos conectados a la red. WannaCry infecta un sistema, el instalador extrae un archivo zip incrustado protegido por contraseña en la misma carpeta que contiene el instalador. A continuación, se extraen los contenidos del archivo zip y se realizan las tareas de inicio. Extrae una versión localizada, específica del idioma, de la nota de rescate en la carpeta msg. WannaCry luego descarga un cliente TOR y lo extrae en la carpeta TaskData. Luego ejecuta un comando para elevar los privilegios de los archivos en las carpetas de la ubicación del ransomware. Termina los procesos asociados con los servidores de bases de datos y los servidores de correo para cifrar las bases de datos y los almacenes de correo. WannaCry luego encripta los tipos de archivos específicos y agrega.wncry a los nombres de los archivos. Almacena una nota de rescate junto con una copia en cada carpeta que contenga archivos cifrados. A continuación, elimina las copias de Shadow Volume, deshabilita la recuperación de inicio de Windows y borra el historial de Copias de seguridad de Windows Server para evitar que las víctimas restauren sus archivos sin pagar el rescate. 32

34 UIWIX (Mayo 2017) Es una variante del Ransomware UIWIX se ejecuta en la memoria y no escribe archivos ni componentes reales en las unidades del sistema infectado, lo que dificulta la detección. También llega como un archivo DLL en lugar de un archivo ejecutable. Si detecta la presencia de una máquina virtual (VM) o sandbox, UIWIX se terminará para evadir la detección y el análisis MacRansom (Mayo 2017) E s un portal de Ransomware-as-a-Service (RaaS) alojado en la Dark Web y posiblemente sea el primer RaaS creado específicamente para Mac OS. Una vez que el ejecutable se compra en el sitio web y se ejecuta en un sistema Mac OS, MacRansom realiza una comprobación preliminar para ver si se está ejecutando en una plataforma que no sea Mac o si detecta la presencia de un depurador. Si el sistema pasa, MacRansom crea una entrada de inicio y cambia la marca de tiempo para obstaculizar los esfuerzos forenses WildFire (Junio 2017) WildFire anteriormente conocido como Zyklon y GNL, apunta al sistema operativo Windows y se distribuye a través de correos electrónicos no deseados que contienen documentos maliciosos de Word enviados por la red de botes Kelihos. Una vez que WildFire infecta un sistema, intentará comunicarse con uno de los cuatro servidores C2 antes de continuar con el proceso de cifrado. Los desarrolladores de Wildfire afirman utilizar el cifrado AES-256 y una contraseña de 32 caracteres para evitar que las víctimas accedan a sus archivos. Los nombres de archivo adjuntos asociados con WildFire y las cepas anteriores incluyen.locked y.zyklon PetrWrap (Junio 2017) PetrWrap se distribuye a través de ataques dirigidos utilizando la herramienta PsExec para ejecutar el ransomware en todos los puntos finales y servidores en una red. Una vez que el sistema está infectado, PetrWrap cifra la tabla maestra de archivos (MFT) de las particiones NTFS y sobrescribe el registro de inicio maestro (MBR) antes de mostrar una nota de rescate. PetrWrap es una versión modificada del Petya.los investigadores de variantes y seguridad creen que esta variante puede ser "no autorizada" por el desarrollador de Petya y desplegada por un actor de amenazas independiente. PetWrap utiliza una versión modificada de los binarios de Petya, pero ha reemplazado la clave pública incorporada que se encuentra en Petya 33

35 con la suya para que sus operadores puedan administrar el descifrado de archivos y los pagos fuera de la plataforma de Ransomware-as-a-Service (RaaS) de Petya SyncCrypt (Agosto 2017) Esta variante utiliza la esteganografía para evadir la detección e infectar a las víctimas, ya que, una vez abierto, el WSF descarga una imagen incrustada con un archivo ZIP. Este archivo ZIP contiene los archivos ejecutables y "readme" de SyncCrypt. Después de que la imagen se descarga en la carpeta % Temp%, extrae los archivos del archivo ZIP en la carpeta % Temp% \ BackupClient y procede a instalar el componente ransomware. SyncCrypt cifra los archivos usando AES y agrega.kka los nombres de archivo. A continuación, coloca una carpeta llamada README en el escritorio que contiene la clave de cifrado pública RSA-4096, readme.html, readme.png y AMMOUNT.TXT, un archivo de texto que contiene el monto del rescate EV (Agosto 2017) EV se dirige a sitios web de WordPress que son vulnerables a comprometerse. Una vez comprometido, el cibercriminal que se encuentra detrás de la campaña lanza la rutina de cifrado de ransomware desde una interfaz de usuario que ofrece varias opciones. EV utiliza el algoritmo de cifrado Rijndael 128 y agrega.ev a los nombres de los archivos cifrados. Después de que cada directorio seleccionado se ve afectado, EV envía un correo electrónico que contiene el nombre del host y la clave de cifrado a htaccess12@gmail.com. Sin embargo, según los investigadores de Wordfence, el proceso de cifrado en realidad daña el código dentro de los archivos afectados y la clave de descifrado no podrá desbloquear los archivos cifrados Anubi (Agosto 2017) Anubi mantiene la persistencia en un sistema infectado al configurar una ejecución automática en el Registro de Windows para que se inicie automáticamente al iniciar sesión el usuario. Anubi a los nombres de archivos cifrados y suelta notas de rescate llamadas READ_ME.txt. El correo electrónico asociado a esta variante es anubi@cock.li. Según los investigadores, esta variante encripta los sistemas infectados, por lo que las víctimas pueden detectar y detener el proceso antes de que se produzcan demasiados daños RedBoot (Septiembre 2017) Cuando un sistema se infecta, RedBoot extrae 5 archivos (assembler.exe, boot.asm, main.exe, overwrite.exe y protect.exe) en una carpeta aleatoria dentro del 34

36 directorio de origen desde el cual se lanzó originalmente el ejecutable del ransomware. Compila el archivo boot.asm en el archivo boot.bin, que luego elimina boot.asm y assembly.exe del sistema. Siguiendo este proceso, RedBoot lanza overwrite.exe para sobrescribir el Registro de inicio maestro (MBR) y luego utiliza main.exe para escanear el sistema y cifrar los archivos. Una vez que todos los archivos dirigidos están cifrados, RedBoot reinicia el sistema y muestra una nota de rescate generada por el MBR, lo que impide que el sistema operativo se cargue BadRabbit (Octubre 2017) BadRabbit se distribuye a través de watering hole attack donde las víctimas son redirigidas desde sitios web comprometidos a un sitio malicioso diseñado para alojar el ejecutable del ransomware enmascarado como una actualización de Adobe Flash. Una vez que se instala el ejecutable malintencionado, BadRabbit comienza a cifrar los archivos y estos sobrescriben el Registro de inicio maestro (MBR) con la nota de rescate antes de reiniciar el sistema. Se propaga lateralmente a través de redes a través de puertos SMBv1 vulnerables y no parcheados, el mismo método utilizado por las variantes WannaCry y NotPetya, después de usar Mimikatz para extraer las credenciales de inicio de sesión de la memoria del sistema infectado DoubleLocker (Octubre 2017) DoubleLocker se hace pasar por una aplicación Flash Player y comparte similitudes con el troyano Svpeng. Cuando una víctima descarga e instala la aplicación, se muestra una solicitud para acceder al servicio de Accesibilidad en el dispositivo. Si la víctima está de acuerdo y completa el proceso de instalación, DoubleLocker se otorga derechos administrativos, bloquea el dispositivo con un código PIN aleatorio y cifra todos los archivos almacenados en el directorio de almacenamiento primario del dispositivo mediante el cifrado AES, adjuntando Gibon (Noviembre 2017) Gibon se distribuye a través de una campaña de spam malicioso que utiliza macros dentro de documentos adjuntos para descargar e instalar el ransomware. También se ha comercializado y vendido en foros criminales clandestinos desde mayo de Después de que un sistema se infecta, GIBON se conecta a su servidor C2 y registra el dispositivo recientemente comprometido. El C2 luego entrega una nota de rescate al sistema infectado y encripta todos los archivos a excepción de los que se encuentran dentro de la carpeta de Windows GandCrab (Enero 2018) GandCrab se distribuye actualmente a través de una campaña de publicidad malintencionada que intenta instalar el ransomware a través del kit de exploits RIG y 35

37 el kit de exploits GrandSoft. Esta variante de ransomware agrega.gdcb a los nombres de los archivos cifrados y omite los archivos cuya ruta contiene cualquiera de los siguientes: \ ProgramData \, \ Program Files \, \ Tor Browser \, Ransomware, \ AllUsers \, \ Local Settings \, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt,.sql Nuke (2018) Su método de distribución es actualmente desconocido. Utiliza AES-256 para cifrar archivos y agrega.nuclear55 a los nombres de archivos después de cambiar el nombre de los archivos a un conjunto aleatorio de caracteres. Nuke genera dos notas de rescate,!! _ RECOVERY_instructions_!!. Htmly!! _ RECOVERY_instructions_!!. Txt y luego cambia el fondo de escritorio. Aunque no proporciona ninguna instrucción de pago y no se indica el monto del rescate en las notas, Nuke proporciona una dirección de correo electrónico para que la víctima se comunique con el atacante para acordar el pago. También amenaza con destruir la clave de descifrado si el pago no se recibe dentro de las 96 horas. 36

38 4.Método de operación Hoy en día el modus operandi del cibercrimen a la hora de llevar a cabo un ataque de ransomware no discrimina por objetivos, es decir, le da igual la organización o empresa a la cual atacan. En el siguiente apartado veremos los vectores de ataque más comunes, pero el más utilizado suele ser hacer barridos de IPs que contengan vulnerabilidades conocidas para llevar a cabo una intrusión y cifrar la información. Otro de los vectores más utilizado es mediante correo electrónico, ya que realizan campañas de mailing genéricas para llevar a cabo miles de infecciones. Esto s van acompañados de algún archivo adjunto, que tras abrirlo el malware invade el sistema del usuario. Consiste normalmente en el cifrado del disco duro de la máquina víctima, lo que provoca que sea imposible acceder a sus servicios y datos a no ser que contemos con la clave que protege esa información. Una vez llevada a cabo la intrusión, sólo queda esperar que se pongan en contacto para negociar vía correo de la deep web para que hagan un ingreso en algún monedero de bitcoins, que son monedas virtuales o criptomonedas, que permiten el pago anónimo entre particulares. Este anonimato es posible gracias a los servicios de mixing o tumbling de bitcoins, accesibles desde la red anónima TOR, que mezclan los fondos de distintas carteras realizando una especie de lavado de la criptomoneda que dificulta que se pueda seguir el rastro de las transacciones. Esto facilita que los cibercriminales puedan extorsionar a sus víctimas sin que la policía pueda seguirles la pista. Para llevar a cabo el blanqueo hay que tener en cuenta e l artículo 301 del Código Penal, el cual sanciona al que adquiera, posea, utilice, convierta, o transmita bienes, sabiendo que éstos tienen su origen en una actividad delictiva, es decir, que lo que se pretende es evitar que se transformen ciertos bienes obtenidos ilegalmente en dinero de apariencia legal. El Bitcoin es una moneda descentralizada basada en intercambios a través de Redes P2P. Los depositas en un monedero que te tienes que abrir a través de un servicio web para PC o móvil y las transacciones están cifradas y se anotan en una cadena de bloques en la que el único dato que puedes ver para identificar la transacción es una función hash. Este hash te permite trazar los movimientos de las transacciones pero no identifica a su titular por lo que, si has tenido que pagar tras ser extorsionado por el malware Ransomware, verás cómo se diversifica tu pago sin saber quién recibe el dinero de ese delito ni hacia dónde va. Por eso, lo hace tan atractivo para que los cibercriminales. 37

39 Suponemos que el malo está recibiendo bitcoins en su monedero procedente de cualquier delito precedente cometido a través de la Deep Web, recibiendo donaciones para la financiación del terrorismo o las multimillonarias extorsiones y daños informáticos del Ransomware, y sus variantes. Una vez que tiene sus Bitcoins, un criminal, que usa la red TOR para enmascarar sus conexiones que permitan una posible identificación, no querrá cometer el estúpido error de ser identificado a través de alguna de las formas que emplee para convertir los Bitcoins anónimos en moneda de curso legal. Cómo no, recurre a las diversas formas disponibles para que la gente de bien que utiliza el Bitcoin los convierta en moneda de curso legal. A continuación vemos un diagrama de los pasos que se siguen en todo el proceso del ransomware: 38

40 5.Vectores de infección 5.1 Dispositivos Externos La utilización de cualquier dispositivo externo que no controlemos puede ser el vector de ataque de cualquier tipo de malware. Por ejemplo al introducir un dispositivo USB a nuestro ordenador que esté infectado, este nos puede infectar nuestro equipo con cualquier tipo de malware, pudiendo cifrar nuestro disco duro mediante algún ransomware. Podemos evitarlo de la siguiente manera: Listado de Dispositivos Activos y No Activos Podemos realizar un inventariado de nuestros dispositivos que están conectados en nuestro equipo o han sido conectados para permitir su conexión la próxima vez que se intenten conectar o rechazarla. Una herramienta que nos proporciona la información de todos los dispositivos USB que han sido conectado a nuestro equipo es sistemas operativos Windows es USBDeview. Ilustración 8 - Herramienta para controlar los dispositivos conectados al equipo Bloqueo de Dispositivos Externos Podemos realizar un bloqueo de todos los dispositivos que se conecten a nuestro y tendremos que aceptar su uso mediante algún software que lo controle. Muchos de los proveedores de antivirus actuales realizan un bloqueo de los dispositivos USB que se conectan a nuestro equipo o le realizan un análisis para comprobar que no contienen ningún tipo de malware. Una herramienta que nos bloquea todos los dispositivos USB a parte de que nosotros aceptemos su uso es BuduLock. 39

41 Ilustración 9 - Software para bloquear dispositivos USB que se conecten a nuestro PC 5.2 Lugares Públicos Desde el uso de redes públicas y gratuitas hasta con el simple hecho de dejarnos nuestro equipo desbloqueado mientras vamos al baño supone un gran riesgo de seguridad donde dejamos a nuestro equipo inseguro y cualquiera puede hacer lo que sea con nuestro equipo en esa franja de tiempo cómo infectarnos nuestro equipo por ataque en la red pública como conectarnos un simple dispositivo externo e infectarnos en segundos Redes Públicas El simple hecho de conectarnos a una red pública debemos tener en cuenta que estamos compartiendo la conexión con otras personas. Esto es muy importante porque pueden realizar análisis de puertos y seguridad a nuestro equipo para encontrar vulnerabilidades, explotarlas e infectar nuestros equipos con cualquier tipo de malware Información El simple hecho de que tengamos personas a nuestro alrededor y por ejemplo escribamos la contraseña de nuestro usuario nos hace bastante vulnerables ya que una persona que se fije en lo que hemos escrito tendría acceso a nuestro equipo para poder infectarlo. 5.3 Servicios Expuestos Si montamos un servidor de cara al exterior con varios servicios puede ser que algunas de las versiones de los servicios que estemos usando sean vulnerables, por lo tanto el usuario puede utilizar esas vulnerabilidades para explotarlas e infectar nuestros equipos o servidores con cualquier tipo de malware. Por ejemplo se puede realizar un ataque de 40

42 fuerza bruta mediante diccionario a un equipo o servidor que tenga activado el remote desktop para así una vez que tengamos credenciales de acceso infectar el equipo. Si realizamos una búsqueda en Shodan de equipos o servidores que tengan el servicio de remote desktop abierto al exterior nos encontramos con más de 2 millones. Ilustración 10 - Motor de búsqueda de dispositivos conectados a Internet ( Shodan ) 5.4 Software Pirata Hay cibercriminales que crean aplicaciones maliciosas o infectan otras conocidas para infectar a la gente. Normalmente se infecta un fichero y cuando el usuario lo abre o ejecuta infecta su equipo. Ilustración 11 - Representación gráfica de malware 41

43 5.5 Software Vulnerable Con el paso del tiempo el software se va actualizando o se queda sin soporte, esto hace que este sea más propenso a que aparezca una vulnerabilidad de este, que puede ser utilizada para vulnerar nuestro propio equipo e instalar cualquier tipo de malware. Por ejemplo una vulnerabilidad reciente de Microsoft Office Word es el CVE que afecta a todas las versiones de Office. Esta vulnerabilidad te permite realizar ejecución de código, por ejemplo de un malware para así infectar nuestro equipo. Ilustración 12 - Detalles sobre una vulnerabilidad de Microsoft Office Word A continuación vamos a listar los CVE más explotados para ataque de ransomware: CVE : Este CVE aprovecha una vulnerabilidad de SMB y ha sido explotado por el famoso WannaCry. Dicha vulnerabilidad corresponde al MS CVE : Este CVE aprovecha una vulnerabilidad de Microsoft Office para la ejecución de código malicioso para infectar el equipo. Este CVE es explotado por el ransomware Petya. Dicha vulnerabilidad corresponde al MS CVE : Este CVE explota una vulnerabilidad en los drivers del kernel en los sistemas operativos Windows que permite realizar una escala de privilegios en el sistema. Este CVE es explotado por el ransomware Locky. CVE : Este CVE explota una vulnerabilidad en Internet Explorer 9 hasta el Internet Explorer 11 donde permite ejecución de código arbitrario. Este CVE es explotado por el ransomware Magniber y Matrix. 42

44 CVE : Este CVE explota una vulnerabilidad en Adobe Flask Player donde permite ejecución de código arbitrario. Este CVE es explotado por el ransomware Cerber y Matrix. CVE : Este CVE explota una vulnerabilidad en Microsoft Office realizando una corrupción de memoria que permite ejecución de código arbitrario. Este CVE es explotado por el ransomware Ryuk. CVE : Este CVE explota una vulnerabilidad en Atlassian Confluence Server donde permite la inyección de código malicioso a través de la propia plantilla. Este CVE es explotado por el ransomware Gandcrab. CVE : Este CVE explota una vulnerabilidad en Jboss Aplication Server en RedHat donde permite la inyección de código serializado para inyectar malware. Este CVE es explotado por el ransomware GlobeImposter. CVE : Este CVE explota una vulnerabilidad en Microsoft.NET donde permite ejecución de código a través de un fichero. Este CVE es explotado por el ransomware CryptoMix Mailing Mediante el envío de correos electrónicos podemos engañar a los usuarios para que se descarguen cualquier tipo de fichero, para ello tendremos que suplantar la identidad de una persona o negocio para engañar a la víctima para bien, obtener información de esta o propagar un software malicioso para infectarla. Los casos más famosos consisten en que el atacante suplanta normalmente la identidad normalmente de una compañía famosa, por ejemplo de un banco y este le pide que ingrese sus credenciales de acceso o que descargue una factura que es un archivo office o pdf malicioso, que cuando se ejecuta infecta al equipo. Lo primero para identificar los correos maliciosos tenemos que corroborar que el dominio sea válido y no se esté intentando suplantar la identidad de otro dominio. Aquí tenemos unos de los ejemplo más famosos con CryptoLocker de un phishing de correo donde nos dice que podemos descargarnos información de nuestro envío y nos cifra el disco. 43

45 Ilustración 13 - Ejemplo de CryptoLocker 6.Aspectos legales La perspectiva legal de las consecuencias penales y civiles que pueden tener los efectos de un ataque de ransomware depende desde qué punto de vista lo estemos analizando. Básicamente tenemos 2 perspectivas, la primera, si hablamos desde el punto de vista de cualquiera de los miembros agentes causantes del daño (creador del malware, responsable de la difusión, recaudador de fondos). Y la segunda, si hablamos de las víctimas, personas físicas o jurídicas del ataque de ransomware (empresa ó personas). Pero además de una primera cadena de víctimas, están las víctimas secundarias, los datos de las personas y empresas de las que se almacenaban sus datos. Por ejemplo, un caso muy típico, es el de las asesorías contables, fiscales y gestorías que sufren un ransomware y que sus datos han sido secuestrados y/o expuestos en la red. Del primer tipo de agentes, los responsables del ataque de ransomware, es decir, los creadores del malware y los difusores del mismo, podemos analizar las siguientes consecuencias legales. 44

46 Para contextualizar la situación de la responsabilidad de los agentes y la facilidad o dificultad para sentenciar y castigar a estos mismos, veamos algunas cuestiones previas. Este tipo de programas suelen ser creados y distribuidos por personas, en países como Rusia, China o cualquier otro lugar, por lo que atrapar o identificar plenamente a los responsables del delito (estafa en su mayoría) suele ser muy complicado. La tipificación de delito en los casos de ransomware acostumbra a ser por estafa informática (para el creador). Si bien, las víctimas de ransomware suelen ser los que más denuncian, tanto sean empresa o persona física pero por falta de autor conocido son los casos de delitos tecnológicos más archivados. En España se conocen 2 Sentencias de la Audiencia Nacional Por ransomware. En este caso la variedad del virus fue el conocido públicamente por el virus de la policía que consistía en que encriptaban al usuario el equipo y se lo dejaban bloqueado porque supuestamente habían cometido un delito en la legislación alemana y les pedía un pago a través de Ukash de 100. Ilustración 14 - Ejemplo de famoso famoso Ransomware de la Policía Las sentencias datan del 3 de marzo de 2016 y del 4 de julio de La sentencia del Virus de la policía se puede consultar en Address=ec compute-1.amazonaws.com 45

47 En dicha sentencia se da una situación muy habitual en este tipo de delitos, y es la figura del Concurso medial; los concursos mediales de delitos se dan cuando un delito, por sí mismo, no es ejecutado por delinquir, si no como medio de realizar otro. Por ejemplo, robar una pistola para cometer un asesinato. En el caso de ransomware, instalar en remoto un malware como medio para acceder a la documentación del ordenador y/o la red y secuestrarla o acceder a ella para después extorsionar a la víctima. La pena en esta sentencia fue concurso medial en el que si uno comete varios delitos estos se acumulan, de tal modo que cada uno tiene su responsabilidad. Sin embargo la figura del concurso, que se recoge en el artículo 77 del Código Penal, intenta permitir una pena acorde a la voluntad de los hechos y no a una consideración aislada de los mismos. Por tanto, se impuso la pena superior a la que correspondía por la infracción más grave, y que no podrá exceder de la suma de las penas concretas que hubieran sido impuestas separadamente por cada uno de los delitos. En cambio, en la Sentencia del 4 de julio de 2017, responsabilidad penal, la pena fue acordada y por tanto, los responsables acordaron una pena en conformidad, tanto para el creador del ransomware como para el que lo difundió. De nuevo, el tipo penal fue delitos de estafa en concurso medial con un delito de daños informáticos, artículo y redacción vigente anterior para el creador del virus. Se propuso en varias diligencias y por fiscalía tratar de delitos de blanqueo de capitales, organización criminal y se agravó la pena correspondiente al delito de estafa por aplicación de este principio del concurso de penas por el delito de daños informáticos del artículo en la redacción anterior, pues el artículo 264 del Código Penal se reformó en el año Especialmente, y se verá en el modelo de negocio de ransomware, cuando para poder crear, difundir, estafar y cobrar el importe en bitcoins, dólares se requiere de una red más amplia que no únicamente 2 personas. Además de estafa se puede proponer sentenciar por delito de acceso ilícito a sistemas informáticos? 46

48 Bien, los artículos a los que hace referencia el código penal en relación a acceso ilícito a sistemas informáticos son el artículo. 264 del código penal donde se establece: 1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años. Por tanto, si se llegase a determinar quién se encuentra detrás de dicho ataque y que efectivamente ha accedido sin autorización previa, ha alterado (en el caso de ransomware, se da este tipo), o también suprimiese o hiciese inaccesible. Por otro lado, el nuevo artículo 264 bis Del código penal que se corresponde con el anterior 264.2, dice: 1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, en los siguientes supuestos: a) realizando alguna de las conductas a que se refiere el artículo anterior; b) introduciendo o transmitiendo datos ; o c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica. De nuevo, cada uno de esos tipos se pueden dar en un ataque de ransomware. Como bien se anunciaba anteriormente, no todos los participantes en el ataque de ransomware tendrían la misma pena en tanto a lo que delitos tecnológicos se refiere. Una vez demostrado el acceso ilícito a los sistemas informáticos y el engaño (estafa) Qué me ocurriría al creador del software? estaríamos ante un delito del artículo 264 ter.: "Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores: a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o 47

49 b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información. Así lo tiene previsto el Artículo 248 del código penal, que establece en los delitos de estafa: 1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolos a realizar un acto de disposición en perjuicio propio o ajeno. 2. También se consideran reos de estafa: a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. b) Los que fabricaron, introdujeron, poseyeron o facilitaron programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo. Después de haber analizado las dos sentencias y los tipos delictivos, cabe destacar y resumir que en la mayoría de los casos suelen quedar impunes por la imposibilidad de localizar al responsable del delito y con la reducción de la instrucción a 6 meses (o 18 ampliable en casos de delitos complejos) es lo más habitual que suceda. En cualquier caso hay 2 variables que siempre se deberá. De tener en cuenta, habrá que analizar qué hace el virus, si inaccesibles los datos o interrumpe el sistema. En la sentencia se consideró que se interrumpió el sistema. Si hay una parte de la unidad de disco que tiene los ficheros para el arranque, se interrumpirá el acceso a los documentos concretos, pero no al sistema y, por lo tanto, sería de aplicación el 264 CP y no el 264 bis. Una reflexión final a modo de discusión jurídica, existiría la coacción en el ataque de ransomware? Bien, la coacción estaría dentro del delito de extorsión del Art. 243 del código penal, y algunos magistrados así lo consideran, por ejemplo el honorable magistrado Eloy Velasco, en el que mediante algunas de sus publicaciones antes de la reforma del código penal así lo aceptaba. Otro grupo de juristas en cambio, indican que si hay falta de coacción física ya no podría ser coacción, puesto que el tipo del artículo del código penal exige violencia o intimidación y dice: El que, con ánimo de lucro, obligare a otro, con 48

50 violencia o intimidación, a realizar u omitir un acto o negocio jurídico en perjuicio de su patrimonio o del de un tercero, será castigado con la pena de prisión de uno a cinco años, sin perjuicio de las que pudieran imponerse por los actos de violencia física realizados. Por tanto, si nos situamos en la parte de la aportación del peritaje o de la defensa habrá que remarcar o tenerlo en cuenta. Podemos protegernos civil y penalmente contra un ataque de ransomware si tenemos software, ya sea como empresas, profesionales o particulares contenedores de datos de terceros? Seguro contra ransomware y coberturas para mitigar las consecuencias penales y reputacionales. Los seguros solo nos garantizarán su ayuda si pueden confirmar que ya estamos bien protegidos antes de contratarlo. Se exige una auditoría de seguridad previa, y según sean los resultados obtenidos antes de hacer firme la cobertura habrá que corregir los posibles problemas detectados y establecer un sistema de recuperación de datos y vuelta a la normalidad. Qué que nos cubre un seguro? Nos cubriría el coste de responsabilidad civil que se resumen en estos siguientes ítems: 1. Costes de notificación 2. Costes de asesoramiento legal 3. Campaña campaña de comunicación para recomponer la reputación de la empresa. 4. El coste de la recuperación de datos a. Coste del software de recuperación de datos b. Coste de la interrupción que se haya podido sufrir. En cualquier caso, no son coberturas tipo, los ciberseguros son diseñados a medida para cada empresa, profesional o particular y los costes pueden variar enormemente. 49

51 7.Modelo de Negocio Cada tipo de ataque tiene una planificación previa donde se especifica que se va a realizar, su público objetivo y cuál va a ser la forma de ofrecer el servicio. Si observamos los diferentes tipos de modelo de negocio en el tema de malware podemos ver que este se ofrece como un servicio donde el usuario paga para que se infecte a otro usuario. 7.1 Attack as a Service(AaaS) Una vez que un amplio número de equipos han sido infectados con el ransomware, los equipos se ofrecen o se alquilan para llevar a cabo una serie de ataques maliciosos, bien para infectar otros equipos con el ransomware o realizar mayormente ataques de denegación de servicio distribuido(ddos). También pueden ser utilizados para otra serie de ataques como envío de correos masivos con malware, minería de criptomonedas, etc. 7.2 Ransomware as a Service(RaaS) El ransomware cómo servicio se centra en que el desarrollador de este no es el encargado de propagar el ransomware, sino los usuarios que solicitan el servicio y estos lo propagan, bien pagando el servicio o los desarrolladores dando el servicio como gratuito pero les cobra un porcentaje por cada usuario que pague por desencriptar los datos. Normalmente el usuario que solicita el ransomware puede modificar este para hacerlo a su gusto. Existen páginas que ofrecen tales servicios Frozr Locker Es un servicio de ransomware que se ofrece a cambio de 0.14 bitcoins. Tiene un builder donde tú puedes customizar el ransomware y cuenta con un total de 250 extensiones diferentes con las que puedes encriptar. Una vez creado te genera una url onion donde el usuario tendrá que realizar el pago para obtener la clave para desencriptar. 50

52 Ilustración 15 - Web para la creación personalizada de un Ransomware Satan Ilustración 16 - Dirección de pago de una cartera BitCoin Es un servicio de ransomware que proporciona a sus usuarios el ransomware de forma gratuita y te permite modificarlo poniendo el precio que tú deseas que el usuario pague y las condiciones. El usuario que infecte se llevará un 70% de las ganancias que se le cobre al usuario y el 30% irá a Satan. 51

53 Ilustración 17 - Servicio web que proporciona Ransomware Ilustración 18 - Opciones de personalización del Ransomware 52

54 7.2.3 RaasBerry Es un servicio de ransomware que te permite elegir entre un total de 5 suscripciones. Cada suscripción se paga en bitcoin. Ilustración 19 - Suscripción por nivel de pago a un servicio de Ransomware (RaasBerry) 53

55 Ilustración 20 - Resto de niveles de Ransomware de pago (RaasBerry) 54

56 7.2.4 HOSTMAN Ransomware Es un servicio de ransomware que cuenta con dos suscripciones: Basic: 9.95$ con usos limitados Big: 49.95$ con usos ilimitados Ilustración 21 - Suscripción de 2 niveles a un servicio que proporciona Ransomware En la información de la página podemos ver que dice que esto es para uso educativo y que no se hace responsable del uso ilegal que se le de. Ilustración 22 - Descargo de responsabilidad de la web. Ransomware con fines educativos 55

57 7.2.5 FLUX Ransomware Es un servicio de ransomware que por ransomware que quieras crear te cobran 45$ y si quieres el código fuente te cobran 150$. Ilustración 23 - Servicio online que proporciona Ransomware y su código fuente mediante pago Ransomware Affiliate Network Es un servicio de ransomware gratuito donde la página se lleva un 25% de las ganancias y el autor el 75%. Si el ransomware se ha infectado más de veces en un mes la página se llevará un 15% y el autor el 85%. Ilustración 24 - Servicio Ransomware gratuito. El creador se lleva un porcentaje de las ganancias. 56

58 7.2.7 RaaS Es un servicio de ransomware gratuito dónde la página se lleva un 20% de las ganancias y el autor el 80%. Ilustración 25 - Ransomware gratuito. El autor cobra un porcentaje de las ganancias INPIVX Es un servicio con diferentes utilidades de hacking entre ellas te permite crear un ransomware y monitorizarlo desde su plataforma y ver la lista de infectados por 500$. Se puede acceder desde Ilustración 26 - Servicio online con diferentes utilidades hacking 57

59 Ilustración 27 - Equipo infectado por Ransomware. Proporciona información de pago en BitCoin Ilustración 28 - Instrucciones de pago de un Ransomware 58

60 Ilustración 29 - Listado de equipos infectados Neutron Group Es una página que te ofrece diferentes servicios de hacking entre ellos raas. Se puede acceder a este servicio desde Ilustración 30 - Web que ofrece diferentes servicios Hacking 59

61 En el apartado de ransomware nos muestra un ejemplo gráfico de este y nos proporcionan si queremos una prueba gratuita. Ilustración 31 - Ejemplo gráfico de Ransomware Luego podemos comprar la versión de pago que dicen que es indetectable para la mayoría de antivirus. Ilustración 32 - Versión de pago del Ransomware Si pulsamos en comprar nos redirecciona a una página donde podemos realizar el pago. 60

62 Ilustración 33 - Cartera BitCoin para hacer el pago del Ransomware 61

63 8.Medida proactivas Las principales medidas que se han de adoptar, en orden de prioridad, para prevenir, detectar y/o mitigar parcialmente la acción de un ransomware : 1. Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Estas copias de seguridad no deben estar en discos externos conectados a los propios servidores las 24h al día, sino que una vez realizada la copia debe sacarse de la propia empresa. Así como tener copias en la nube, lo que conocemos como copias de la copia. 2. Mantener el sistema actualizado con los últimos parches de seguridad. Incluso estar al tanto de vulnerabilidades de día cero que aún no hayan sido parcheadas, por si es necesario deshabilitar algún componente. Como ha ocurrido por ejemplo en numerables ocasiones con fallos en el componente flash player, dejando a miles de máquinas vulnerables. 3. Uso de un antivirus con la base de datos de firmas actualizado. Ya no sólo el uso de antivirus comunes, sino aquellos que tengan algún sistema antiransomware. Un ejemplo de estos sería hacer uso del antivirus Sophos Home con su versión de EndPoint con el componente Intercept X que tiene detección de antiransomware. 4. Disponer de sistemas antispam a nivel de correo electrónico, ya hemos visto como el correo electrónico es una de las principales vías de infección. 5. No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware. 6. Se recomienda el empleo de bloqueadores de Javascript para el navegador, como por ejemplo "Privacy Manager", que impide la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo. De este modo reduciremos las opciones de infección desde la web (Web Exploit Kits). 7. Configurar el sistema operativo para que muestre las extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero. 8. Finalmente, el empleo de máquinas virtuales evitará en un alto porcentaje de casos la infección por ransomware. Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en este tipo de código dañino, se ha demostrado que en un entorno virtualizado su acción no llega a materializarse. En el Anexo II podemos ver una infografía que he realizado dentro de la empresa onbranding para darle difusión por redes sociales y vía mailing a nuestros clientes. 62

64 9. Medidas reactivas: métodos de recuperación de información frente a ataques Actualmente no existe ni se prevé que exista ningún método de recuperar la información que sirva para todos las diferentes variantes de ransomware. Esto hace que la forma de recuperar la información, si es que es posible, varíe entre los distintos tipos de ransomware. 9.1 NoMoreRansom Este método es el que suelen recomendar los expertos. No es ni más ni menos que un servicio web (Crypto Sheriff) que ayuda a identificar el ransomware que te ha infectado para recomendarte una herramienta para ayudar a descifrar los archivos. Además de la herramienta adjuntan un manual de instrucciones para saber cómo utilizarla en cada caso en particular. El enlace a la web es el siguiente: Restaurando copia de seguridad La forma más sencilla sería simplemente restaurar una copia de seguridad del sistema que tengamos siempre y cuando teniendo en cuenta que quizás lo primero que hagamos nada más restaurarla sea actualizar el equipo y analizarlo con alguna herramienta antivirus para evitar volvernos a infectar en caso de que el malware ya estuviera en la copia de seguridad. Según cómo estuviéramos haciendo las copias de seguridad, si mediante el propio Sistema Operativo o con algún software externo, la forma de recuperarla varía. Para restaurarlo en cada caso concreto habría que consultar la documentación de lo que se esté usando. 9.3 Servicio AntiRansomware de INCIBE-CERT Si los métodos anteriores no funcionan o resultan muy complicados siempre podemos contactar con el CERT de INCIBE. Como bien indican en su web El INCIBE-CERT dispone de un equipo especializado en el análisis y gestión de incidencias de seguridad y fraude electrónico. Puede reportar un incidente o un caso de fraude electrónico a través de 63

65 dirección detallando en el mismo su información de contacto y una descripción lo más completa posible del incidente. Podemos encontrar más información en la propia web de INCIBE-CERT en el siguiente enlace: File Carving Por último, lo que podemos hacer es File Carving, es decir, buscar por los ficheros borrados. Esto lo hacemos porque existen algunos ransomware que antes de cifrar hacen una copia del fichero. Las herramientas más conocidas para esta tarea son Foremost o Scalpel de SleuthKit. Ilustración 34 - Ejemplo herramienta foremost Además de lo anterior cabe la pequeña posibilidad de que podamos recuperar la información cambiando simplemente la extensión del fichero por la original. Esto lo hacen muy pocos tipos de ransomware y suelen ser ataques muy poco sofisticados. 10. POC de análisis de ransomware Vamos a llevar a cabo una POC o prueba de concepto de un ataque de ransomware y su posterior análisis. Concretamente hemos utilizado una muestra del ransomware GrandCrab que podemos encontrar en la siguiente dirección: Para el análisis de las muestras de malware utilizaremos un laboratorio para evitar infectar las máquinas reales. Para la creación de este laboratorio (lab) 64

66 utilizaremos flare-vm creado por la empresa Fireeye y una máquina virtual de Windows 7. Para la creación de la máquina virtual podemos utilizar el sistema de virtualización que queramos siempre que permita ejecutar Windows. Para preparar nuestro lab una vez que tengamos creada la máquina virtual simplemente nos vamos al github del proyecto ( ) y nos descargamos y ejecutamos como administrador el script de instalación. Tras un rato funcionando nos acabará de instalar todas las herramientas que podamos necesitar para analizar los distinto malware. Importante también que la máquina virtual esté en modo de red nat o similar para aislarla del resto de equipos Análisis estático Para el análisis estático de una muestra de ransomware vamos a suponer que tenemos un clonado del disco de una máquina virtual y la memoria RAM de la misma ya que sólo se ha suspendido la máquina. Lo primero que haríamos sería analizar la memoria RAM de la máquina ya que dependiendo del tipo de ransomware podemos hasta incluso encontrar la clave de cifrado cargado en memoria. Para el análisis podemos utilizar herramientas más visuales como Mandiant Redline, creado por la empresa Fireeeye: Ilustración 35 - Imagen de ejemplo de la interfaz de Mandiant Redline 65

67 También, como alternativa, podemos utilizar la herramienta volatility ( ) aunque esta sea mediante línea de comandos. Ilustración 36 - Imagen de ejemplo de volatility También podemos y debemos revisar el registro de Windows ya que es posible que el ransomware haya escrito en algún registro algo que nos pueda ser de utilidad. Para poder ver el registro podemos utilizar por ejemplo la herramienta Registry Explorer ( ). Ilustración 37 - Imagen de ejemplo de RegistryExplorer Además de la RAM podemos analizar también el propio sistema de ficheros y todo lo que conlleva. 66

68 Para abrir y leer la información del disco infectado podemos utilizar la herramienta FTK Imager Lite que para ser la versión gratuita nos sirve completamente. Ilustración 38 - Imagen de ejemplo de FTK Imager Si queremos hacer un análisis más en profundidad podemos utilizar autopsy que es una plataforma e interfaz gráfica de The Sleuth Kit ( ). Ilustración 39 - Imagen de ejemplo de Autopsy 67

69 Del sistema de ficheros podemos llegar a sacar información acerca del malware para su identificación. por ejemplo, con la extensión de los ficheros cifrados o el mensaje que suelen dejar con las instrucciones para el rescate. En casi todas las infecciones el vector de ataque es mediante un correo de phishing por lo que es aconsejable que para buscar el ejecutable malicioso empecemos a buscar por aquí. Es importante que localicemos el ejecutable que provocó la infección para que podamos realizar un reversing básico al mismo. Para realizar el análisis estático del binario podemos utilizar la herramienta Ghidra creada por la NSA ( ). Aunque la herramienta es muy completa también es relativamente sencilla de utilizar y podríamos encontrar algo de utilidad en el binario como por ejemplo a donde se conecta para obtener la clave de cifrado o incluso la propia clave. Ilustración 40 - Ejemplo de la interfaz de Ghidra Además para saber la fecha en la que se compiló el ejecutable podemos utilizar la herramienta PEView ( ). 68

70 Ilustración 41 - Ejemplo de interfaz PEview Además de todo esto para analizar la muestra podemos subirla a algún sitio web como puede ser VirusTotal para que nos arroje más luz sobre lo que tenemos entre manos. 69

71 10.2 Análisis dinámico Ilustración 42 - Web de VIRUSTOTAL Una p arte muy importante del análisis de malware es analizarlo de forma dinámica, es decir, mientras se ejecuta. Para evitar infectarnos, vamos a utilizar la máquina de laboratorio que previamente hemos montado como se explica en el anexo A. Para analizarlo vamos a centrarnos en ver a alto nivel lo que hace sin entrar en temas muy avanzados de debugging ni reversing ya que eso daría para hacer otro TFM entero. Lo que vamos a analizar es sobretodo el registro de Windows, las conexiones de red, los procesos del sistema, como quedan los ficheros después de cifrados y un dumpeo del proceso del malware. Lo primero que haremos será ejecutar Wireshark en nuestra máquina física para monitorizar todas las conexiones del ejecutable. Además para ver sólo las conexiones de nuestra máquina vamos a filtrar las peticiones por la IP de la máquina. Ilustración 43- Captura de paquetes con Wireshark A continuación vamos a utilizar el programa regshot ( ). El funcionamiento de este programa consiste en hacer una copia del registro para posteriormente volver a hacer otra, comparar las diferencias y ver lo que ha cambiado. 70

72 Ilustración 44 - Software para hacer copias de seguridad del registro de Windows Para analizar el cambio de los ficheros al cifrarse veremos una imagen antes y después del cifrado. Para dumpear el proceso simplemente lo haremos desde el administrador de tareas. Para monitorizar los procesos lo haremos con Procmon de la suite de Sysinternal poniendo en el filtro el nombre del ejecutable malicioso. Ilustración 45 - Imagen ejemplo de Process Monitor 71

73 Por último preparamos los ficheros que se infectaran. Ilustración 46 - Archivo infectados con Ransomware La infección la vamos a hacer con el ransomware llamado GANDCRAB V Podemos ver algo más de información acerca de este ransomware en el apartado GandCrab. Ahora que ya tenemos todo preparado, vamos a ejecutar el ransomware. Ilustración 47 - Imagen de equipo cifrado con GandCrab Tras un rato ya estaría todo el equipo infectado y los ficheros cifrados. 72

74 Lo primero sería parar el Wireshark y guardarlo como pcap para poder abrirlo con el programa Network Miner. Ilustración 48 - Guardando la captura de Red Tras abrirlo con Network Miner podemos ver el resumen de todo el tráfico. Ilustración 49 - Análisis de la captura con NetworkMiner 73

75 Con este programa además del propio Wireshark podemos ver las distintas peticiones que ha hecho. Con Regshot hacemos otra copia de las claves del registro y las comparamos y ya podremos ver todos los cambios que se han efectuado. Ilustración 50 - Información del registro En este caso en particular no se ha podido hacer un dumpeo del proceso ya que se ha cerrado al finalizar de cifrar el disco, pero sería tan sencillo como irnos al proceso que queremos dumpear, hacer clic derecho y darle a la opción de Crear archivo de volcado. Ilustración 51 - Volcado de Proceso 74

76 Con Procmon podemos ver todo lo que ha hecho el proceso. Entre otros podemos ver cómo va abriendo distintos ficheros, escribe y los cierra. Ilustración 52 - Monitorización de los Procesos Para finalizar el análisis dinámico, vemos los ficheros que ha cifrado y están completamente ilegibles y sin la clave de cifrado o alguna herramienta que lo descifre no podríamos recuperarla. Ilustración 53 - Editor Hexadecimal 75

77 11. Conclusiones A continuación exponemos las conclusiones a las que se han llegado tras la realización del siguiente trabajo: Se ha elaborado un cronograma bastante amplio de los diferentes tipos de ransomware, lo que nos permite conocer en amplitud la dimensión de lo que supone el ransomware en el cibercrimen y su evolución. Se han definido y analizado la manera de trabajar de 58 tipos diferentes de ransomware, lo cual genera un conocimiento del funcionamiento de este tipo de malware muy grande. Se han enumerado los pasos que dan los cibercriminales a la hora de llevar a cabo una infección, lo cual ayuda a identificar mejor los puntos débiles en los sistemas que pueden ser infectados. Se ha trabajado sobre los diferentes vectores de ataque que utilizan el ransomware de tal forma que podemos encontrar posibles víctimas con un posible click de ratón haciendo búsquedas, por ejemplo, en shodan. Se han visto los artículos del código penal relacionados con este tipo de amenaza y por tanto nos hace ser conocedores las consecuencias legales de lo que supone este tipo de ataques. Hemos visto los diferentes tipos de modelo de negocio, así como e ncontrado sitios en la deep web de RaaS que nos permiten sin conocimientos comprar ransomware para infectar a cualquiera y obtener beneficios. Dichos sitios a día de la entrega del trabajo siguen activos. Hemos definido una serie de m edidas de protección para mitigar los riesgos de infección, lo cual nos hace que podamos difundirlas para que las personas que las apliquen estén más seguras. Hemos utilizado métodos de recuperación de información con muestras de malware real, lo cual nos hace ser conocedores de cómo debemos actuar tras un ataque de este tipo. Hemos analizado una muestra muy actual del ransomware GrandCrab y utilizado una máquina virtual como laboratorio que n os sirve para en un futuro podamos analizar cualquier muestra a nivel de procesos, registro del sistema, conexiones, etc. Como conclusión final podemos indicar que se ha llevado a cabo un estudio exhaustivo de un tipo de malware muy utilizado a día de hoy, como es el 76

78 ransomware y tras este trabajo somos capaces de identificar y analizar cualquier tipo de ransomware. 12. Glosario Phishing : El phishing es una técnica de ingeniería social utilizada por los delincuentes para obtener información confidencial o que el usuario ejecute algún malware. File Carving : Este proceso es utilizado principalmente en la informática forense para extraer información a partir de una cantidad de datos en bruto sin necesidad de conocer el sistema de ficheros con el que se han creado. Cloud Computing : es un paradigma que permite ofrecer servicios de computación a través de una red, que usualmente es Internet. Servidor C2 o C&C : la infraestructura mando y control (Command and control en inglés, usualmente abreviado C&C o C2) consta de servidores y otros elementos que son usados para controlar los malware. Hidden Services : Los Hidden Services o Servicios Ocultos permiten que los usuarios de Tor puedan ofrecer diferentes servicios anonimizando la fuente de estos. Estos servicios pueden ser de cualquier tipo, XMPP, IRC, SSH, una página web, etc 77

79 13. Bibliografía Guia sobre el Ransomware Guia sobre el Ransomware por Incibe ad.pdf Guia sobre el Ransomware por CCN-CERT ransomware-1/file.html Historia del ransomware por CarbonBlack Historia del ransomware por WatchGuard Historia del Ransomware por EndGame s-against-another-global-attack Historia del Ransomware por F-Secure Información sobre vectores de ataque Distintas variantes de cada tipo de Ransomware Aumento de ataques de Ransomware Guias para eliminar Ransomware Información delictiva sobre el ransomware a-del-derecho_ / 78

80 Tipificación penal del ransomware Malware as a Service Modelo de negocio en el cibercrimen Redline: Herramienta de análisis de RAM Flare-VM por Fireeye: Laboratorio de pruebas Registry Explorer: Herramienta para visualizar el registro egistry+explorer Fakenet: Herramienta que ayuda a análisis dinámico del malware: Reverse-it: Servicio Web para buscar y analizar amenazas referentes a malware: Virus Total: Servicio Web para analizar ficheros y webs: Joe Sandbox: Servicio Web para realizar análisis dinámicos de ejecutables: Hybrid Analysis: Servicio Web para realizar análisis dinámicos de ejecutables: Any.run: Servicio Web para realizar análisis dinámicos de ejecutables: 79

81 Anexo A - Preparación máquina de laboratorio Para evitar infectar nuestra máquina y hacer un análisis del malware en un entorno seguro para nosotros tenemos que hacerlo en un laboratorio. Para hacerlo vamos a utilizar una máquina virtual con una instalación limpia de Windows 7 y vamos a instalar las herramientas de VM-Flare ( ). Esto lo que hace es transformar nuestra máquina virtual con Windows 7 en una máquina completamente funcional para analizar malware y binarios en general. Para instalarlo como bien dice en la documentación sólo tendríamos que ejecutar 3 comandos en powershell. Primero quitamos la restricción en la política de ejecución con el comando Set-ExecutionPolicy Unrestricted. A continuación ejecutamos el siguiente comando que nos instalará BoxStarter. Hay que aclarar que se tiene que ejecutar en una shell con permisos de administrador. Ilustración 54 - Instalación de BoxStarter Como la máquina que hemos utilizado no tenía la versión adecuada de.net lo ha instalado y nos pide reiniciar. Tras reiniciar y volver a ejecutar el mismo comando nos instalará Chocolatey Ilustración 55 - Instalación de Chocolatey Al pasar un rato ya se habría instalado el gestor de paquetes. 80

82 Ilustración 56 - Instalación Boxstarter Por último vamos a instalar todas las herramientas que trae flare-vm con el comando que sale a continuación. Ilustración 57 - Flare-VM Tras un buen rato descargando, instalando herramientas y algún que otro reinicio ya tendríamos la máquina preparada para reversear binarios. 81

83 Ilustración 58 - Entorno de Laboratorio instalado 82

84 Anexo B - Infografía Ransomware onbranding Como CSO de onbranding, SL, junto con mi equipo hemos desarrollado una infografía para temas de concienciación para difundir a través de redes sociales y mediante mailing a nuestros clientes. Ilustración 59 - Medidas Preventivas por onbranding 83