En los primeros días de la infección Cryptolocker, Check Point Software Technologies detectó y detuvo este malware en más de 50 organizaciones ahorrándoles hasta $500.000 dólares en cargos de rescate.
El código malicioso es una cadena de malware conocida como ‘ransomware’ y fue identificada a principios de septiembre de 2013. Como otras formas de ransomware Cryptolocker se instala en la computadora de la víctima y se ejecuta en segundo plano sin que el usuario final se de cuenta cifrando varios archivos de datos del usuario.
Esto representa una amenaza emergente con muchas infecciones en las últimas semanas. Esta amenaza ataca a usuarios individuales y a organizaciones con gran presencia de infecciones detectadas principalmente en los Estados Unidos y en el Reino Unido. Al completar la fase de cifrado, Cryptolocker muestra un aviso que informa al usuario que sus archivos ‘son rehenes’ y exige el pago de un rescate a los criminales con el fin de recibir las claves de cifrado que le permitirán descifrar los archivos.
Generalmente el rescate oscila alrededor de $300 dólares con un aumento a diez bitcoins (alrededor de $3.800 dólares) si el usuario no cancela el rescate inmediatamente. La descripción estipula que si el usuario no cumple con esta solicitud dentro del plazo de pago (a menudo menos de cuatro días) la clave privada necesaria para descifrar los archivos serán borrados de sus servidores y la víctima no podrá recuperar sus datos.
Una característica importante de Cryptolocker es que el malware necesita hallar e iniciar comunicación con un servidor de comando y control (C&C) antes de que pueda empezar el proceso de cifrar los archivos. Una vez que la conexión con el servidor de C&C se ha establecido, el servidor genera una clave pública única que envía al agente para que cifre los datos de la computadora de la víctima.
El equipo de investigación de malware de Check Point pudo predecir los URLs blanco para los servidores C&C que los agentes Cryptolocker intentarían contactar y luego crearon ”firmas inteligentes” para los motores Check Point Antibot y Antivirus. Actualizado dinámicamente para todos los usuarios ThreatCloud, esta protección en efecto bloquea las comunicaciones a los servidores C&C de Cryptolocker y previene que el proceso de cifrado malicioso comience.
Los clientes que habilitaron los blades antibot y antivirus en sus gateways Check Point reciben automáticamente detecciones actualizadas de Cryptolocker mediante ThreatCloud. Check Point recomienda que los clientes activen la modalidad Prevención para antibot y antivirus en su gateway de políticas de prevención de amenazas.
La compañía detectó que varios países fueron afectados por este malware como Estados Unidos, Reino Unido, Filipinas y varios países latinoamericanos como Perú, Ecuador, Colombia, México, Venezuela, Brasil y Bolivia.
”Los criminales cibernéticos lanzan constantemente ataques nuevos distribuyendo miles de nuevas variantes de malware todos los días” afirmó Ricardo Panez, director regional para México, Centroamérica y el Caribe de Check Point Software Technologies.
¿Cómo protejer a su organización de este tipo de ataque?
- Eduque a los usuarios para que estén alerta ante archivos anexos inusuales o enlaces sospechosos. El malware a menudo se propaga vía campañas de phishing en las cuales el destinatario recibe un correo electrónico con un archivo malicioso o vínculo a una página que contiene explotaciones basadas en el navegador.
- Asegúrese de que todos los parches de su sistema operativo y de aplicación estén instalados, pues Cryptolocker y muchos otros malwares se instalan en una computadora explotando una vulnerabilidad conocida en el sistema operativo o en aplicaciones comunes como Microsoft Word o Adobe Reader.
- Realice respaldos regulares de todos los datos delicados y guárdelos fuera de línea para prevenir que los atacantes mapeen e infecten discos externos.