Durante los últimos años Internet se ha visto bajo una serie de ataques ejercidos por un tipo de software malicioso denominado “ransomware“, sin embargo, el desarrollo de estos programas es tan amplio que algunos de estos ataques fueron ocasionados por variantes del ransomware, esto ocasionó que organizaciones y empresas se alarmaran, buscando así nuevas estrategias para mantener su seguridad en la red.
Ransomware es un tipo de malware que se encarga de restringir el acceso a ciertos tipos de documentos, mediante un sistema de cifrado el cual modifica el lugar donde se encuentran ubicados los archivos infectados, los nombres, e incluso cambia la extensión de dichos archivos, imposibilitando al usuario abrir, editar, o siquiera ver los mismos.
Lo curioso de este tipo de software malicioso es que luego de cifrar los archivos advierte al usuario que ha sido victima de un ataque informático, y que la única forma de recuperar dichos archivos es pagando un rescate, por lo que deja al usuario una serie de instrucciones a seguir para realizar el mencionado pago.
Nuevas variantes del ransomware: ¿Qué hay de nuevo?
De los ransomware ya se había conocido abiertamente en Internet su código funcional, por ello han surgido variantes que han causado estragos en la red, pues están desarrolladas con mejor estructura, estas variantes son Locky y WannaCry, este ultimo se identificó en ataques a grandes compañías, como telefónica de España, la compañía internacional estadounidense FedEx, la compañía ferroviaria alemana Deutsche Bahn, sin mencionar otras compañías que se han visto afectadas.
Variantes de WannaCry
El ransomware responsable de dichos ataques fue el ya reconocido WannaCry, esta vez a través de las nuevas variantes del ransomware WannaCry.A!rsm y WannaCry.B!rsm. Estas dos variantes de software malicioso aprovecharon una vulnerabilidad encontrada en un supuesto exploit desarrollado por la Agencia de Seguridad Nacional de los Estados Unidos denominado EternalBlue.
- WannaCry.A!rsm: luego de haber realizado con éxito la infección del equipo, intenta establecer una conexión a una página web codificada, si dicha conexión se realiza con éxito el ransomware no comienza con la encriptación de los archivos, pero si la conexión no se establece de forma satisfactoria, el proceso de cifrado comenzará y solicitará el pago por el rescate de dichos archivos.
- WannaCry.B!rsm: al haber realizado con éxito la infección del equipo, comienza inmediatamente con el cifrado y solicita el pago por el rescate de los archivos encriptados.
Se sabe que el mayor responsable de la infección a las compañías fue el ransomware de tipo WannaCry.B!rsm.
Variantes de Locky
La detección de estos malware es sumamente complicada, esto ocasiona que sean los más peligrosos, pues la primera infección producida por el malware original contaba con un método de acción que incluía la extensión .locky a los archivos cifrados, se han identificado dos nuevas variantes: diablo6 y lukitos que también usan su nombre como extensión de archivo.
Las variantes diablo6 y lukitos al igual que el resto se distribuyen a través de correos electrónicos, u ocultos dentro de documentos word, al ser abiertos por el usuario infectan el equipo con un troyano que instala el ransomware, y automáticamente genera una clave de cifrado única en cada usuario.
Luego de ser instalado diablo6 o lukitos comienzan a cifrar todos los archivos del disco duro, ademas de modificar el nombre de cada archivo, usando una combinación de código hexadecimal, cambian la extensión de dichos archivos a .diablo6 o .lukitos, luego el ransomware se desinstala y muestra al usuario un mensaje con la solicitud de pago para la recuperación de los archivos encriptados.