CIBERATAQUE A EMPRESAS

RANSOMWARE

El Ransomware es un tipo de programa daniño que restringe el acceso a determinadas

partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta
restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo
inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. Se han propuesto
algunas alternativas en español al término en inglés, como "programa de secuestro",
"secuestrador", «programa de chantaje» o «chantajista»
En otras palabras imagínate que un desconocido entre a tu casa y guarda todas tus
pertenencias en una caja fuerte, después dice que te dará el código para abrirla, pero solo
si le pagas una suma de dinero, de lo contrario la caja destruirá todo lo que tenga adentro.
¿CÓMO EVITAR UN ATAQUE DE
RANSOMWARE?

1.¡Copia de seguridad! ¡Copia de seguridad! ¡Copia de seguridad! Contar con un sistema de recuperación de

datos impedirá que una infección de ransomware pueda destruir tus datos para siempre. Es recomendable
crear dos copias de seguridad: una para ser almacenada en la nube (recuerda usar un servicio que realice
automáticamente copias de tus archivos) y otra en un dispositivo físico (disco duro portátil, memoria USB,
otro equipo portátil, etc.). Desconéctalos de tu PC cuando se haya realizado la copia. También servirá para
recuperar archivos importantes que pudieran haberse borrado accidentalmente.
2.Usa un buen software antivirus para proteger tu sistema del ransomware. No desactives la detección
mediante heurísticas ya que ésto ayuda a capturar muestras de ransomware que aún no hayan sido
detectadas formalmente.
3.Mantén el software de tu PC actualizado. Cuando tu Sistema Operativo o aplicaciones actualicen a una
nueva versión, instálalas. Y si el software tiene la opción de actualizarse automáticamente, úsala.
CUALES FUERON LAS APLICACIONES PARA
UTILIZAR ESTOS TIPOS DE CIBERATAQUE
El CryptoLocker es una familia
reciente de ransoms cuyo modelo de
negocio (si, el malware es un
negocio) se basa en la extorsión al
usuario. Otro malware famoso que
también se basa en la extorsión es el  ZIP  con contraseña.
Virus de la Policía, con el que había
que pagar para poder recuperar el
equipo. Pero a diferencia de este,
el CryptoLocker se basa en el
secuestro de los documentos del
usuario y pedir un rescate por ellos
(con tiempo límite para poder
recuperarlos).
Ustedes me preguntaran como es que
se infiltra en nuestro ordenador o
servidor
La perdida que ha
generado este malware es
de $3 millones de dólares.
El CryptoLocker utiliza técnicas de ingeniería social,
para conseguir que sea el propio usuario quien lo ejecute.
Concretamente la victima recibe un correo, simulando
provenir de una empresa de logística, que lleva adjunto un
Cuando el usuario abre el zip introduciendo la contraseña
que le viene en el email, cree que dentro hay un fichero
PDF y al abrir el falso PDF es cuando ejecuta el
troyano. CryptoLocker se aprovecha de la política de
Windows de ocultar las extensiones por defecto, de tal
forma que el usuario es engañado “gracias” a esta
característica de Windows.
En cuanto el usuario (la víctima) ejecuta el Troyano este
se instala como residente en el equipo:
•Realiza una copia de sí mismo en una ruta del perfil del
usuario (AppData, LocalAppData)
•Crea una entrada en los autoruns para asegurarse la
ejecución al reinicio.
•Ejecuta dos procesos de sí mismo fichero. Uno es el
principal y otro para proteger el proceso original frente a
cierres.
Además el CryptoLocker guarda la ruta de cada
archivo cifrado en esta clave de registro:
HKEY_CURRENT_USERSoftwareCryptoLockerFil
es

• Petya es un malware de tipo ransomware reportado por la
empresa Heise Security. Petya se esparce como troyano usando
el popular sistema de archivos en la nube Dropbox.​Mientras la
mayoría de los malware de secuestro de computadoras
selecciona los archivos a encriptar, Petya aumenta el daño
potencial al impedir el arranque de la computadora.
Cómo se detecta el ransomware Petya
En un primer momento, Petya dependía de la credulidad del
usuario para lograr acceder a su equipo. Había que abrir el
correo electrónico malicioso, descargar el archivo adjunto,
abrirlo y, además, darle permiso de nivel administrativo para
alterar el sistema operativo Windows. Solo tras completar
este proceso podía Petya comenzar a cifrar la MFT.
Llegados a ese punto, el equipo de la víctima se reiniciaba y
mostraba el mensaje de rescate.
 ¿POR QUÉ SE UTILIZA EL BITCOIN COMO MODO DE RESCATE?

• Los hackers que están detrás del mayor ataque informático de la Historia no quieren un
rescate en euros ni en dólares: exigen bitcoins. ¿Por qué? Los avezados internautas
conocen bien el por qué, pero a quien no esté tan familiarizado con las transacciones en la
red quizás esta moneda le suene a chino.
• El bitcoin es una criptomoneda o criptodivisa. De hecho, es la primera moneda de este
tipo. Se creó en el año 2009, por lo que se trata de un concepto relativamente joven. Fue la
primera, pero hoy no es la única: existen muchos tipos, como los litecoins o los dogecoins,
por citar solo dos. Cada criptodivisa tiene una peculiaridad y es utilizada en base a ella: por
ejemplo el bilur, la que quizás sea la última de estas monedas ya que se puso en circulación
en los primeros días de este mes, está vinculada al precio del petróleo.
• Todos las transferencias de criptomonedas se realizan en la web y tienen unas
características que no dejan lugar a dudas de por qué los hackers de masivo ataque de '
ransomware' han elegido cobrar sus 'recompensas' en bitcoins: en las operaciones con estas
monedas no hay intermediarios, se realizan en redes P2P (más seguras que los cauces
habituales) y el cifrado de las transacciones, que son públicas, es tan complejo que resulta
muy difícil de rastrear entre quienes se está produciendo el intercambio.
 LA RED INTERNA DE TELEFÓNICA, ATACADA
POR UN VIRUS MALICIOSO

Varios ordenadores de la red interna de Telefónica se han visto afectados este viernes 12 de mayo 2017, por un software malicioso
(malware) que ha llevado a la compañía a solicitar a todos los empleados de su sede central en Madrid que apaguen sus ordenadores.
Fuentes de la compañía han explicado que tras detectarse este mañana que varios ordenadores presentaban un problema de
seguridad informática han optado por apagar todos los equipos de la intranet del edificio del Distrito Telefónica como medida
preventiva.
En un mensaje interno enviado a la plantilla con el asunto 'Urgente: Apaga tu ordenador ya' al que ha tenido acceso a Europa Press, la
compañía comunica que el equipo de seguridad ha detectado el ingreso a la red de Telefónica de un "malware" que afecta a los datos
y ficheros.
El hackeo sufrido por Telefónica ha afectado tanto a la corporación como a las instalaciones de otras filiales del grupo que tienen su sede en el
Distrito C. En principio, se sospecha que el agujero de seguridad se habría producido tras abrir un empleado un link que no debía en un correo
electrónico. A partir de ahí, el virus se habría extendido por la compañía.  
https://www.youtube.com/watch?v=v-ITcpD1KcQ&t=9s
 CITIBANK
• Citibank, uno de los 4 bancos más grandes de EE. UU., Descubrió una filtración de datos hace
aproximadamente un mes que se dice que afectó a más de 200.000 clientes de tarjetas de
crédito.

• Citibank ha confirmado que los números de seguro social de los clientes, las fechas de
vencimiento de las tarjetas de crédito, los códigos de seguridad de las tarjetas (número CCV) y
las fechas de nacimiento no se vieron comprometidos. Aún así, creemos que los piratas
informáticos se han armado con suficiente información para realizar acciones potencialmente
maliciosas contra las víctimas. Es demasiado común que veamos casos en los que los 
eventos de piratería conducen a campañas de spam y phishing que luego podrían causar
problemas graves para los inicialmente afectados por una violación de seguridad.

• Después del descubrimiento de la violación, que se pensó que era un agujero de seguridad
dentro de uno de los sistemas de Citibank durante el mes de mayo, Citibank se puso en contacto
con la policía y endureció los procedimientos de fraude. Ahora han asegurado a los clientes que
han tomado las precauciones adecuadas para evitar que esto suceda en el futuro.
 SE PUEDE REMEDIAR ESTE TIPO DE
CIBERATAQUE
• hay más de 50 familias de este malware en circulación – y está evolucionando rápidamente. Con cada nueva
variante se mejora el cifrado y se incorporan nuevas características. ¡Ésto no es algo que se pueda pasar por alto!
• Una de las razones por las que es difícil encontrar una solución es debido a que el cifrado en sí no es dañino.
Realmente es una buena herramienta y muchos programas legítimos la utilizan.
• El primer malware criptográfico utilizaba un algoritmo de clave simétrica, con la misma clave para cifrar y descifrar.
La información corrupta podía ser descifrada con éxito normalmente mediante la ayuda de compañías de
seguridad. Con el tiempo, los cibercriminales empezaron a utilizar algoritmos de cifrado asimétricos que utilizan
dos claves diferentes – una pública para cifrar los archivos, y una privada necesaria para el descifrado.
Así que lo primero que hay que tener en cuenta es la prevención. La mayoría de antivirus incluyen algún componente
que ayuda a identificar el ataque de un ransomware en etapas tempranas de la infección, impidiendo la pérdida de
información sensible. Es importante para los usuarios asegurar que esta funcionalidad está activada en el antivirus.
https://www.nomoreransom.org/es/decryption-tools.html