El ransomware Cryptowall provoca pérdidas por valor de 18 millones de dólares

El ransomware es actualmente una de las amenazas más activas, si no la más activa, y que más quebraderos de cabeza provoca a usuarios particulares y empresas. En este blog hemos hablado muchas veces de las campañas de propagación de ransomware utilizadas por los delincuentes y de los miles de usuarios afectados. Ahora tenemos también datos sobre la cantidad de dinero obtenido por los delincuentes que utilizan este tipo de malware.

Cuantificando las pérdidas económicas

Entre abril de 2014 y junio de 2015, el Internet Crime Complaint Center (IC3), organismo adscrito al FBI, recibió 992 informes relacionados con CryptoWall, que supusieron unas pérdidas económicas para sus víctimas que llegaron a los 18 millones de dólares.

Los datos recopilados por este organismo muestran que el ransomware continúa propagándose e infectando dispositivos en todo el mundo. Los informes recientes del IC3 señalan a CryptoWall como la amenaza de este tipo más activa y significativa del momento en Estados Unidos, afectando a individuos y empresas.

CryptoWall y sus variantes se han estado utilizando activamente desde abril de 2014 para infectar víctimas. Estas infecciones provocan unos gastos, no solo por el rescate que piden los cibercriminales, sino también por otros costes asociados a la recuperación de la información y limpieza de los sistemas infectados. A este rescate, que oscila entre 200 y 10.000 dólares, se suma la pérdida de productividad, la mitigación del riesgo en la red, los servicios de IT, tasas legales, y otros gastos.

¿Qué es Cryptowall?

CryptoWall es una variante no tan conocida de CryptoLocker, aunque logró superarlo en lo que refiere a infecciones. El año pasado, cifró más 5 mil millones de archivos. Es detectado por las soluciones de ESET como Win32/Filecoder.CO, lo que significa que es un ransomware del tipo filecoder: malware que cifra la información de los usuarios e intentan extorsionarlos a obligándolos a pagar dinero a modo de “rescate”, para recuperar el acceso a los archivos.

Lo que se obtiene al pagar este rescate a los delincuentes es el programa que descifra los ficheros aunque recomendamos no pagar por diversos motivos: no existe la certeza de que, efectivamente, los cibercriminales nos permitan acceder de nuevo a la información, y, al hacer el pago, se abre la posibilidad de que exijan más dinero y siga funcionando un mercado delictivo.

Tal como señala el informe del IC3, estos fraudes financieros afectan tanto a individuos como a compañías. No hay objetivo pequeño para los ciberdelincuentes y hemos visto casos en los que alguna Pyme se ha visto obligada a pagar miles de euros para recuperar la información cifrada y poder recuperar su actividad.

Vectores de propagación y mecanismos de protección

Los vectores de propagación han ido variando desde el aprovechamiento de vulnerabilidades en sistemas operativos como Windows 2003 Server, pasando por adjuntos maliciosos en correos electrónicos hasta llegar a kits de exploits incrustados en webs, tanto maliciosas como legítimas que descargan y ejecutan el malware de forma automática utilizando vulnerabilidades en software como Adobe Flash Player.

Por eso resulta vital seguir algunos consejos que minimizarán el riesgo de vernos afectados por un ransomware.

• Mantener actualizados los sistemas operativos, navegadores y aplicaciones para evitar que el ransomware pueda aprovechar agujeros de seguridad y se distribuya de forma masiva.
• Evitar abrir correos sospechosos no solicitados. Tanto si proceden de usuarios conocidos como desconocidos es recomendable asegurarse de que la persona que ha enviado el correo realmente quería remitir ese fichero adjunto o enlace.
• Tener cuidado con absolutamente todos los archivos adjuntos a un email o descargados desde un enlace, especialmente aquellos que vienen comprimidos en formato zip. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un malware, por lo que es mejor ser precavido.
• La mayoría de los clientes de correo electrónico ofrecen la posibilidad de hacer visibles todas las extensiones de los archivos adjuntos recibidos. Desde ESET aconsejamos habilitar esta función para saber exactamente qué tipo de archivo se nos ha enviado.
• Disponer como mínimo de dos copias de seguridad actualizadas y cada una de ellas alojada en una ubicación diferente a la otra.
• Utilizar un antivirus actualizado y con capacidad de reconocer y eliminar las nuevas variantes de ransomware conforme estas aparezcan. Las soluciones de seguridad de ESET disponen del sistema Live Grid, capaz de detectar y bloquear nuevas variantes al poco tiempo de que estas sean publicadas.
• Utilizar herramientas especializadas (como Anti Ransom o CryptoPrevent) para recibir alertas en caso de que un ransomware empiece a cifrar archivos, e incluso para evitar el cifrado de cierto tipo de ficheros en ubicaciones determinadas.

Por último, no podemos dejar de recomendar el siguiente vídeo realizado por nuestros compañeros de ESET Latinoamérica donde se explica de forma clara cómo funciona el ransomware:

Josep Albors a partir de un post de Sabrina Pagnotta en WeLiveSecurity