Ransomware: el virus que segresta informació

Escrit per Marcos Montero en 2017-05-04T14:01:56Z

Topics: Technical Security Office

Ransomware: el virus que segresta informació

Ransomware és un tipus d'atac informàtic que combina la mecànica habitual dels virus informàtics (infecció de l'ordinador mitjançant l'accés a algun recurs aparentment inofensiu) amb tècniques criminals habituals en casos de segrest (petició de rescat per a la devolució del contingut dels fitxers, coacció, ostatges, temps límit, etc.).

En aquest article explicarem com sol actuar aquest malware, alguns casos famosos d'aquest tipus d'atacs i també recomanacions sobre què podem fer si desafortunadament en patim un.

Si ho prefereixes, pots escoltar el podcast de la nostra secció (minut 44:00) del programa de ràdio l'Altra Ràdio (Ràdio 4, RNE) del 6 d'abril passat, en què tractàvem aquest tema. 

 

Com funcionen els atacs ransomware

El ransomware sol aparèixer com qualsevol altre tipus de virus informàtic: rebem un missatge de correu electrònic amb un fitxer adjunt aparentment inofensiu. En aquest cas, en l'obrir-lo ens instal·la un programa que es dedica a xifrar els fitxers de tots els discs durs connectats al nostre ordinador.

Una vegada que el virus ha xifrat els nostres fitxers, quan intentem accedir a algun, se'ns mostra un missatge que ens demana un rescat en bitcoins amb una data límit, igual que si es tractés d'un segrest. En general, el virus sol oferir dos períodes de pagament: un d’inicial amb descompte i un altre de posterior en què ja sol demanar-se el doble de diners. I el pagament del rescat el sol·licita en bitcoins per garantir que la transacció sigui anònima i irrastrejable.

L'import dels rescats sol·licitats sol ser baix, entre 500 i 1.000 €, perquè d'aquesta forma és molt més fàcil convèncer la víctima que pagui. Es tracta d'un esforç econòmic assumible que la víctima estarà disposada a fer per recuperar una informació que valgui la pena.

Si arriba la data final i no hem pagat, el virus elimina la clau usada per xifrar els nostres fitxers i d'aquesta manera perdem l'accés al seu contingut per sempre.

Els fitxers són xifrats amb un sistema de clau pública de gran complexitat, que fa extremadament costós (impossible per a un particular) intentar desxifrar-los “a la força".

Els virus ransomware més famosos són CryptoLocker i Mamba. L'FBI diu que es produeixen més de 4.000 atacs diaris d'aquest tipus.

 

Alguns exemples d'atacs ransomware

Un hospital de Los Angeles va tenir els fitxers de tots els seus historials mèdics encriptats i va pagar 17.000 dòlars com a rescat. Es tracta d'un cas que destaca per l'elevat import pagat, a conseqüència de la importància i sensibilitat de les dades que van ser segrestades.

El gener d'aquest any 2017, un hotel a Àustria va ser atacat i els hackers van impedir l'accés a les habitacions i van bloquejar-ne el sistema de reserves. Es tractava d'un hotel de luxe als Alps, en temporada alta, amb clients que havien pagat molts diners per unes habitacions amb grans comoditats, però a les quals no podien entrar i gaudir-ne en arribar d'esquiar. En aquest cas, la data límit per al primer pagament era el mateix dia a la nit. Evidentment, l'hotel va pagar el rescat.

Aparentment, ningú pot lliurar-se del risc del ransomware. Fins i tot hi ha casos en què la mateixa policia ha estat afectada. Durant el 2016, diversos departaments de xèrif en localitats petites dels EUA van ser infectats per ransomware. El comtat de Lincoln, a Maine, va perdre l'accés a tots els seus expedients i... va pagar el rescat tot i el famós "no negociem amb terroristes".

D'altra banda, Durham, New Hampshire i Collinsville, Alabama, també van ser infectats, però no van pagar el rescat i no van poder recuperar el contingut dels seus fitxers.

A part del problema del rescat dels fitxers, en casos com aquests es plantegen problemes addicionals: si algú bloqueja els fitxers de la policia o un jutjat, un cop recuperats poden generar-se dubtes raonables sobre si aquests fitxers (evidències en processos criminals o judicials) poden haver estat alterats durant la manipulació i, per tant, perdre validesa en la causa.

 

Recomanacions davant l'amenaça ransomware

Si patim un atac de ransomware podem posar-nos en contacte amb el CERTSI (CERT de Seguretat i Indústria del Ministeri d'Energia, Turisme i Agenda Digital). El CERTSI ja ha estat capaç de trobar mètodes per desxifrar els fitxers infectats amb alguns d'aquests virus, com ara el CryptoLocker, encara que l'èxit depèn molt de cada cas.

La millor recomanació davant aquest tipus d'amenaces és sempre disposar d'una còpia de seguretat dels nostres fitxers importants emmagatzemada externament o, igual que va fer l'hotel d'Àustria, tornar a utilitzar claus tradicionals en lloc de panys electrònics.