Menú
Conoce las principales herramientas de ciberseguridad con este ebook.
A principios de este año, investigadores descubrieron una nueva cepa de ransomware: Rorschach.
Parece tener unas características de cifrado únicas y se considera la amenaza de ransomware más rápida conocida hasta la fecha.
Rorschach utiliza el método de cifrado “cifrado intermitente”, lo que significa que cifra únicamente una parte de cada archivo, lo que lo hace prácticamente ilegible.
Esto provoca una disminución de tiempo en el proceso de encriptación y acorta el tiempo que las empresas tienen para detectar y responder a las infecciones.
Rorschach tiene altas probabilidades de éxito, puesto que implementa las mejores características de otras cepas líderes.
Todo ello, la convierte en una de las cepas más peligrosas que existen.
Antes de hablar de Rorschach y para conseguir una mayor comprensión, vamos a comenzar explicando qué es un ransomware.
El ransomware es un tipo de software malicioso (malware) diseñado para bloquear o cifrar archivos y sistemas informático con el objetivo de exigir un rescate a la víctima para restaurar el acceso a sus datos o sistemas.
Es una forma de ataque cibernético que extorsiona a las personas o empresas para obtener unos beneficios económicos.
De hecho, el ransomware es una de las formas más “rentables” de ciberdelincuencia, puesto que puede afectar tanto a usuarios individuales como a grandes empresas, hospitales, ayuntamientos, etc.
Aunque los expertos en seguridad cibernética alertan constantemente sobre este peligro, el ransomware sigue siendo una amenaza en constante evolución.
Lo que diferencia unos ransomware de otros son las técnicas de ataque específicas que utiliza cada uno.
Estas formas de ataque incluyen:
Para los ciberdelincuentes, el criptoransomware es uno de los tipos más lucrativos de ransomware, puesto que el cifrado de los archivos hace que sea muy complicado o prácticamente imposible recuperar los datos sin la clave de descifrado.
Cuando un sistema es infectado por un criptoransomware, este busca y cifra varios archivos.
Una vez que están cifrados, los hackers exponen un mensaje de rescate en el monitor del usuario explicando cómo realizar el pago para recuperar los archivos.
Es bastante habitual que los ciberdelincuentes establezcan plazo para el pago, amenazando con aumentar el precio del rescate o destruir los archivos robados si no se cumplen sus exigencias.
El leakware es una variante del ransomware que se diferencia del criptoransomware tradicional.
Aunque ambos buscan extorsionar a sus víctimas, el leakware lo hace de manera distinta.
No se centra en cifrar o bloquear los archivos del usuario para exigir un rescate.
Su objetivo principal es amenazar con divulgar o filtrar datos sensibles o confidenciales de la víctima si no se paga un rescate.
Además de establecer plazos para los pagos, muestran ejemplos de los datos robados como prueba de que, realmente, tienen la información comprometedora.
Habitualmente, utilizan técnicas de ingeniería social para aumentar la presión sobre la víctima.
El término DDoS Ranwomware hace referencia a una combinación de dos tipos diferentes de ataques cibernéticos: DDoS y ransomware.
Mientras que el criptoransomware y el leakware se dirigen a los datos, el DDoS ransomware va dirigido a los servicios de red.
Este tipo de ransomware funciona inundando los servidores con solicitudes de conexión falsas en un intento por detenerlos. Va acompañado de una nota de rescate que informa que el ataque finalizará cuando se realice el pago.
No obstante, un ataque de ransomware DDoS consume muchos recursos, lo que dificulta al ciberdelincuente mantenerlo activo.
Este tipo de ransomware se enfoca en bloquear el acceso a un sistema o dispositivo al mostrar una pantalla de bloqueo.
No cifra los archivos, sino que el locker ransomware impide que el usuario acceda a su dispositivo al bloquear la pantalla con una advertencia o mensaje de rescate.
Normalmente, el mensaje de rescate contiene amenazas y advertencias que intentan asustar a la víctima para que realice el pago rápidamente.
Algunas veces, el mensaje de bloqueo se hace pasar por una entidad oficial, conteniendo afirmaciones falsas de que el usuario ha violado la ley o de que ha estado involucrado en actividades ilegales.
¡Todo con el objetivo de presionar a la víctima y conseguir que pague!
También llamado “espantapájaros”. Utiliza tácticas de ingeniería social para engañar al usuario y hacerle crees que su dispositivo ha sido infectado con malware o que hay otro problema que requiere acción urgente.
Aparece una alerta emergente, normalmente mostrando un logotipo de un software de seguridad legítimo y con una indicación de comprarlo e instalarlo.
Probablemente, el software contenga malware diseñado para causar daños más graves.
Como hemos mencionado anteriormente, los investigadores descubrieron una nueva variedad ransomware a la que llamaron Rorschach.
Lo curioso es que, el creador de este ransomware no se ocultó tras ningún alias y no parece pertenecer a ningún grupo especializado en estos ataques.
En el análisis realizado, este ransomware exhibió características exclusivas. Para investigarlo más a fondo, los investigadores decidieron hacerle un análisis de comportamiento.
Se dieron cuenta de que este tipo de ransomware actúa de manera casi autónoma, y que se difunde de manera automática al ejecutarse en un controlador de dominio (DC), mientras elimina los registros de eventos de las máquinas afectadas.
Además, es muy adaptable. Ejecuta sus tareas no sólo centrándose en la configuración incorporada, sino también en base a argumentos opcionales que le permiten cambiar su comportamiento dependiendo de las necesidades del operador.
Es cierto que parece haberse inspirado en algunas de las familias de ransomware más perversas.
No obstante, contiene funcionalidades exclusivas que pocas veces se observan entre los ransomwares, como el uso de llamadas directas al sistema utilizando la instrucción “syscall”.
Rorschach puede infectar tu dispositivo mediante diferentes métodos:
La nota de rescate informa al usuario de que las copias de seguridad de sus datos han sido destruidas y que su sistema ha sido comprometido.
Además, la nota afirma que los piratas informáticos descargaron datos privados.
Del mismo modo, se advierte a la víctima que no se ponga en contacto con la policía u otra autoridad antes de que se concluya el contrato.
Igualmente, trata de disuadir al usuario de ponerse en contacto con servicios de recuperación de archivos, le avisa de que no intente descifrar los archivos por su cuenta o modificar la extensión de dichos archivos.
También se facilita a la víctima una dirección de email para que pueda comunicarse con los ciberdelincuentes y estos le envíen archivos para el descifrado de prueba.
El mensaje termina amenazando al usuario y diciéndole que, si no se paga el rescate, los ciberdelincuentes volverán a atacar a la empresa y borrarán todos los datos de sus redes.
El hallazgo de este nuevo ransomware subraya la importancia de mantener fuertes medidas de ciberseguridad para prevenir la infección de nuestros dispositivos.
En ADM Cloud & Services contamos con sólidas herramientas de ciberseguridad. ¡Contáctanos y hablamos!
