A continuacion les hago copia de un post que se publico la semana pasada en el blog de la empresa de seguridad enHacke. Esta muy bueno, espero les guste.

En las líneas siguientes les explicaremos en que consiste este nuevo tipo de ataque que hasta hace unos meses sólo se perpetuaba en Europa pero que ha empezado a tomar lugar en varios escenarios latinoamericanos, incluyendo entre estos a Perú.

Este ataque (Secuestro de Información) conocido también como Ransomware o ciberextorsión, tuvo sus primeras víctimas en Europa hace un par de meses con una modalidad que si bien no es la que se ha presentado aquí en Perú, es más bien una variación.
A continuación les mostraremos los diversos tipos de Secuestro de Información que hay. Vale recordar que una de estas variantes ya tiene 2 víctimas en Perú.

CASO 1:
En los casos europeos el ataque incluía: spam o archivos a través de Messenger, un keylogger y la recolección de contraseñas de cuentas de Hotmail. Para que se entienda bien, un atacante enviaba mediante spam, una foto o postal en un archivo, el cual tenía un keylogger y así se hacía de las cuentas de Hotmail de las víctimas. Una vez que el atacante tenía bajo su poder las cuentas de Hotmail con sus respectivas contraseñas, eliminaba todos los contactos y mensajes del correo a excepción de uno que decía:
Quieres saber donde están tus contactos y tus mails? Pues entonces deberás pagar, o prefieres perderlo todo? Espero escribas pronto.
Asesino de Correos X

CASO 2:
En Rusia también se vieron varios de estos ataques. Aprovechando los servicios de algunas de las empresas de Telecomunicaciones y las facilidades que ofrecían estas para vincular una cuenta anónima con un servicio de mensajería se presentaron casos de Secuestro de Información en el cual se bloqueaba el sistema y solicitaba a la victima el envío de un mensaje de texto para obtener un código de desbloqueo y realizar el rescate.
El objetivo es el de siempre, beneficio económico. Por cada mensaje de texto que se envía, los atacantes ganan dinero.

Esta es una imagen del troyano Trojan.Winlock que muestra como se menciono anteriormente el número de teléfono y el mensaje que se debe enviar así como el espacio en blanco para escribir el código de rescate.

CASO 3:
También existe una tercera variante en la cual varios de los archivos son encriptados o agregados a un archivo .ZIP o .RAR con contraseña.
El atacante o el gusano se encarga de cambiar el fondo de escritorio con una imagen donde dan instrucciones para realizar el rescate.

Este troyano ransomware de nombre GPCode se esparce por la red a través de varios medios. El troyano encripta los archivos en la maquina víctima y deja un archivo de texto con el nombre CRYPTED.TXT donde se pide un rescate de $10 para desencriptar los archivos. En la imagen podemos ver como cambia el fondo del escritorio y deja una dirección y una cuenta de ICQ para contactarse con el autor.

Reflexión:
Estos tipos de ataques pueden llegar de distintas maneras: Ejecutables sospechosos e infectados, SPAM, Carga de codecs maliciosos por paginas dudosas o en último de los casos y que sería más preocupante porque habría sido un ataque dirigido, una intrusión directa por parte de un hacker malicioso.

El objetivo en los tres casos es el mismo y está clarísimo, DINERO, mucho dinero. Muchas de las victimas terminan pagando el rescate a fin de recuperar rápidamente sus documentos.

Si bien en estos casos un Backup puede ayudar muy bien en tratar de recuperar la información secuestrada y no pagar el rescate, lo mejor sería llevar una metodología de seguridad y seguir buenas prácticas en cuanto al uso del sistema para evitar que el malware llegue a nuestras computadoras y en el caso de ser un ataque dirigido poder hacer difícil la entrada al hacker malicioso.