Rorschach: un ransomware con características exclusivas

Rorschach: un ransomware con características exclusivas

Conoce las principales herramientas de ciberseguridad con este ebook.

DESCARGAR AQUÍ

• ¿Qué es un ransomware?
• Diferentes tipos de ransomware.
• Ransomware Rorschach.
• Infección de Rorschach
• Nota de rescate de Rorschach

A principios de este año, investigadores descubrieron una nueva cepa de ransomware: Rorschach.

Parece tener unas características de cifrado únicas y se considera la amenaza de ransomware más rápida conocida hasta la fecha.

Rorschach utiliza el método de cifrado “cifrado intermitente”, lo que significa que cifra únicamente una parte de cada archivo, lo que lo hace prácticamente ilegible.

Esto provoca una disminución de tiempo en el proceso de encriptación y acorta el tiempo que las empresas tienen para detectar y responder a las infecciones.

Rorschach tiene altas probabilidades de éxito, puesto que implementa las mejores características de otras cepas líderes.

Todo ello, la convierte en una de las cepas más peligrosas que existen.

Descarga ahora el ebook gratuito “Herramientas de ciberseguridad”

¿Qué es un ransomware?

Antes de hablar de Rorschach y para conseguir una mayor comprensión, vamos a comenzar explicando qué es un ransomware.

El ransomware es un tipo de software malicioso (malware) diseñado para bloquear o cifrar archivos y sistemas informático con el objetivo de exigir un rescate a la víctima para restaurar el acceso a sus datos o sistemas.

Es una forma de ataque cibernético que extorsiona a las personas o empresas para obtener unos beneficios económicos.

De hecho, el ransomware es una de las formas más “rentables” de ciberdelincuencia, puesto que puede afectar tanto a usuarios individuales como a grandes empresas, hospitales, ayuntamientos, etc.

Aunque los expertos en seguridad cibernética alertan constantemente sobre este peligro, el ransomware sigue siendo una amenaza en constante evolución.

Diferentes tipos de ransomware

Lo que diferencia unos ransomware de otros son las técnicas de ataque específicas que utiliza cada uno.

Estas formas de ataque incluyen:

1. Criptoransomware

Para los ciberdelincuentes, el criptoransomware es uno de los tipos más lucrativos de ransomware, puesto que el cifrado de los archivos hace que sea muy complicado o prácticamente imposible recuperar los datos sin la clave de descifrado.

Cuando un sistema es infectado por un criptoransomware, este busca y cifra varios archivos.

Una vez que están cifrados, los hackers exponen un mensaje de rescate en el monitor del usuario explicando cómo realizar el pago para recuperar los archivos.

Es bastante habitual que los ciberdelincuentes establezcan plazo para el pago, amenazando con aumentar el precio del rescate o destruir los archivos robados si no se cumplen sus exigencias.

2. Leakware (exfiltración)

El leakware es una variante del ransomware que se diferencia del criptoransomware tradicional.

Aunque ambos buscan extorsionar a sus víctimas, el leakware lo hace de manera distinta.

No se centra en cifrar o bloquear los archivos del usuario para exigir un rescate.

Su objetivo principal es amenazar con divulgar o filtrar datos sensibles o confidenciales de la víctima si no se paga un rescate.

Además de establecer plazos para los pagos, muestran ejemplos de los datos robados como prueba de que, realmente, tienen la información comprometedora.

Habitualmente, utilizan técnicas de ingeniería social para aumentar la presión sobre la víctima.

3. DDoS Ransomware

El término DDoS Ranwomware hace referencia a una combinación de dos tipos diferentes de ataques cibernéticos: DDoS y ransomware.

Mientras que el criptoransomware y el leakware se dirigen a los datos, el DDoS ransomware va dirigido a los servicios de red.

Este tipo de ransomware funciona inundando los servidores con solicitudes de conexión falsas en un intento por detenerlos. Va acompañado de una nota de rescate que informa que el ataque finalizará cuando se realice el pago.

No obstante, un ataque de ransomware DDoS consume muchos recursos, lo que dificulta al ciberdelincuente mantenerlo activo.

4. Locker Ransomware (bloqueador de pantalla)

Este tipo de ransomware se enfoca en bloquear el acceso a un sistema o dispositivo al mostrar una pantalla de bloqueo.

No cifra los archivos, sino que el locker ransomware impide que el usuario acceda a su dispositivo al bloquear la pantalla con una advertencia o mensaje de rescate.

Normalmente, el mensaje de rescate contiene amenazas y advertencias que intentan asustar a la víctima para que realice el pago rápidamente.

Algunas veces, el mensaje de bloqueo se hace pasar por una entidad oficial, conteniendo afirmaciones falsas de que el usuario ha violado la ley o de que ha estado involucrado en actividades ilegales.

¡Todo con el objetivo de presionar a la víctima y conseguir que pague!

5. Scareware

También llamado “espantapájaros”. Utiliza tácticas de ingeniería social para engañar al usuario y hacerle crees que su dispositivo ha sido infectado con malware o que hay otro problema que requiere acción urgente.

Aparece una alerta emergente, normalmente mostrando un logotipo de un software de seguridad legítimo y con una indicación de comprarlo e instalarlo.

Probablemente, el software contenga malware diseñado para causar daños más graves.

Ransomware Rorschach

Como hemos mencionado anteriormente, los investigadores descubrieron una nueva variedad ransomware a la que llamaron Rorschach.

Lo curioso es que, el creador de este ransomware no se ocultó tras ningún alias y no parece pertenecer a ningún grupo especializado en estos ataques.

En el análisis realizado, este ransomware exhibió características exclusivas. Para investigarlo más a fondo, los investigadores decidieron hacerle un análisis de comportamiento.

Se dieron cuenta de que este tipo de ransomware actúa de manera casi autónoma, y que se difunde de manera automática al ejecutarse en un controlador de dominio (DC), mientras elimina los registros de eventos de las máquinas afectadas.

Además, es muy adaptable. Ejecuta sus tareas no sólo centrándose en la configuración incorporada, sino también en base a argumentos opcionales que le permiten cambiar su comportamiento dependiendo de las necesidades del operador.

Es cierto que parece haberse inspirado en algunas de las familias de ransomware más perversas.

No obstante, contiene funcionalidades exclusivas que pocas veces se observan entre los ransomwares, como el uso de llamadas directas al sistema utilizando la instrucción “syscall”.

Infección de Rorschach

Rorschach puede infectar tu dispositivo mediante diferentes métodos:

• Troyanos: un troyano es un tipo de software que aparentemente está diseñado para realizar una tarea legítima, pero ejecuta otra diferente, normalmente maliciosa. Una de las maneras más comunes de infección por troyano es a través de phishing, mediante archivos adjuntos, programas falsos y otro tipo de archivos que engañan a las víctimas.

• Servicio remoto vulnerable: los atacantes explotarán las herramientas del Protocolo de escritorio remoto cuyas credenciales son conocidas, reutilizadas, débiles o reformuladas para obtener acceso a las redes de las empresas y filtrar datos.

• Vulnerabilidades de software conocidas: los hackers también utilizan software con vulnerabilidades conocidas para atacar empresas. Por ello, es fundamental mantener actualizado todo el software y proteger las herramientas de administración remota.

¿Cómo puede ayudar a las empresas la revisión de acceso de usuario?

La revisión de acceso de usuario incluye los siguientes beneficios:

• Evita la acumulación de privilegios y el uso indebido de estos.

• Seguridad de los datos mediante la detección de los riesgos asociados al acceso de los usuarios.

• Baja segura: en el caso de que un empleado sea despedido o abandone la empresa, se eliminan sus derechos de acceso para evitar su acceso a información confidencial.

• Cumplimiento de las restricciones regulatorias de la empresa.

• Menos gasto en las licencias. Es decir, si el acceso a sistemas específicos no se supervisa puede generar gasto innecesario para la empresa.

En ADM Cloud & Services contamos con diversas herramientas para proteger los datos de tu empresa. Contáctanos sin compromiso, nos encantará hablar contigo.

Gracias por quedarte hasta el final. ¡Nos vemos en la próxima!

Suscríbete al blog

Twitter
LinkedIn

Suscríbete al blog