Tipos comunes de ransomware



Cada semana aparece un nuevo tipo de ransomware, es difícil hacer un seguimiento de las diferentes cepas. Si bien cada uno de estos se propaga de una manera diferente, generalmente se basan en tácticas similares para aprovechar a los usuarios y mantener a los datos como rehenes. Echemos un vistazo a los ejemplos comunes de ransomware:

Bad Rabbit
Una variedad de ransomware que ha infectado a organizaciones en Rusia y Europa del Este. Bad Rabbit se propaga a través de una actualización falsa de Adobe Flash en sitios web comprometidos. Cuando el ransomware infecta una máquina, los usuarios son dirigidos a una página de pago que exige .05 bitcoin (alrededor de $ 285).

Cerber
Cerber se dirige a los usuarios de Office 365 basados ​​en la nube y ha afectado a millones de usuarios con una campaña de phishing elaborada. Este tipo de malware enfatiza la creciente necesidad de copias de seguridad de SaaS además de las locales.

Crysis
Esta forma de ransomware puede cifrar archivos en unidades fijas, extraíbles y de red, y utiliza algoritmos de cifrado sólidos y un esquema que hace que sea difícil de descifrar dentro de un período de tiempo razonable.

CryptoLocker
Ransomware ha existido de alguna forma u otra durante las últimas dos décadas, pero realmente llegó a la fama en 2013 con CryptoLocker. La botnet CryptoLocker original se cerró en mayo de 2014, pero no antes de que los piratas informáticos detrás de ella obtuvieran casi 3 millones de dólares de las víctimas. Desde entonces, los hackers han copiado ampliamente el enfoque de CryptoLocker, aunque las variantes en operación hoy en día no están directamente vinculadas al original. La palabra CryptoLocker, al igual que Xerox y Kleenex en sus respectivos mundos, se ha convertido casi en sinónimo de ransomware.

CryptoWall
CryptoWall ganó notoriedad después de la caída del CryptoLocker original. Apareció por primera vez a principios de 2014, y han aparecido variantes con una variedad de nombres, incluidos CryptoBit, CryptoDefense, CryptoWall 2.0 y CryptoWall 3.0. Al igual que CryptoLocker, CryptoWall se distribuye a través de spam o kits de explotación.

Crysis
Crysis ransomware cifra los archivos en unidades de red fijas, extraíbles y con un algoritmo de cifrado fuerte, lo que dificulta su descifrado en un tiempo razonable. Por lo general, se propaga a través de correos electrónicos que contienen archivos adjuntos con extensión de archivo doble, lo que hace que el archivo aparezca como un archivo no ejecutable. Además de los correos electrónicos, también se puede disfrazar de instalador legítimo para las aplicaciones.

CTB-Locker
Los delincuentes detrás de CTB-Locker adoptan un enfoque diferente para la distribución de malware. Tomando una página de los libros de jugadas de Girl Scout Cookies y Mary Kay Cosmetics, estos piratas informáticos subcontratan el proceso de infección a los socios a cambio de una reducción de las ganancias. Esta es una estrategia comprobada para lograr grandes volúmenes de infecciones de malware a un ritmo más rápido.

GoldenEye
GoldenEye es similar al prolífico Petya ransomware. Los hackers difunden el ransomware GoldenEye a través de una campaña masiva dirigida a los departamentos de recursos humanos. Después de descargar el archivo, se inicia una macro que cifra los archivos en la computadora. Para cada archivo que cifra, GoldenEye agrega una extensión aleatoria de 8 caracteres al final. El ransomware también modifica el disco duro del usuario MBR (Master Boot Record) con un cargador de arranque personalizado. UNA

Jigsaw
Jigsaw encripta y borra progresivamente archivos hasta que se paga un rescate. El ransomware elimina un solo archivo después de la primera hora, luego elimina más y más por hora hasta la marca de 72 horas, cuando se eliminan todos los archivos restantes.

KeRanger
Según ArsTechnica, se descubrió el ransomware KeRanger en un popular cliente de BitTorrent. KeRanger no está ampliamente distribuido, pero es conocido como el primer ransomware completamente funcional diseñado para bloquear las aplicaciones de Mac OS X.

LeChiffre
"Le Chiffre", que proviene del sustantivo francés "chiffrement" que significa "encriptación", es el villano principal de la novela Casino Royale de James Bond que secuestra el interés amoroso de Bond para atraerlo a una trampa y robarle su dinero. A diferencia de otras variantes, los hackers deben ejecutar LeChiffre manualmente en el sistema comprometido. Los delincuentes cibernéticos escanean automáticamente las redes en busca de escritorios remotos mal protegidos, iniciando sesión de forma remota y ejecutando manualmente una instancia del virus.

Locky
El enfoque de Locky es similar a muchos otros tipos de ransomware. El malware se propaga en un mensaje de correo electrónico disfrazado de factura. Cuando se abre, la factura se revuelve y se instruye a la víctima para que permita que las macros lean el documento. Cuando las macros están habilitadas, Locky comienza a cifrar una gran variedad de tipos de archivos utilizando el cifrado AES.


NotPetya
Los informes iniciales clasificaron NotPetya como una variante de Petya, una variedad de ransomware vista por primera vez en 2016. Sin embargo, los investigadores ahora creen que NotPetya es un malware conocido como limpiador con el único propósito de destruir datos en lugar de obtener un rescate.


Petya
A diferencia de otros tipos de ransomware, Petya encripta sistemas informáticos completos. Petya sobrescribe el registro de arranque maestro, lo que hace que el sistema operativo no pueda arrancar.

Spider
Una forma de ransomware propagada a través de correos electrónicos no deseados en toda Europa. Spans ransomware está oculto en los documentos de Microsoft Word que instalan el malware en la computadora de la víctima cuando se descarga. El documento de Word, que está disfrazado como un aviso de cobro de deudas, contiene macros maliciosas. Cuando se ejecutan estas macros, el ransomware comienza a descargar y cifrar los datos de la víctima.

TeslaCrypt
TeslaCrypt es otro tipo nuevo de ransomware en la escena. Como la mayoría de los otros ejemplos aquí, utiliza un algoritmo AES para cifrar archivos. Normalmente se distribuye a través del kit de explotación Angler que ataca específicamente las vulnerabilidades de Adobe. Una vez que se explota una vulnerabilidad, TeslaCrypt se instala en la carpeta temporal de Microsoft.

TorrentLocker
TorrentLocker generalmente se distribuye a través de campañas de correo electrónico no deseado y está orientado geográficamente con mensajes de correo electrónico entregados a regiones específicas. TorrentLocker a menudo se conoce como CryptoLocker, y utiliza un algoritmo AES para cifrar los tipos de archivos. Además de codificar archivos, también recopila direcciones de correo electrónico de la libreta de direcciones de la víctima para propagar malware más allá de la computadora inicialmente infectada, esto es exclusivo de TorrentLocker.

WannaCry
WannaCry es una campaña generalizada de ransomware que afecta a organizaciones de todo el mundo. El ransomware golpeó a más de 125,000 organizaciones en más de 150 países. La variedad de ransomware también se conoce como WCry o WanaCrypt0r y actualmente afecta a las máquinas de Windows a través de un exploit de Microsoft conocido como EternalBlue.

ZCryptor
ZCryptor es una variedad de malware autopropagante que muestra un comportamiento similar a un gusano, encripta archivos y también infecta unidades externas y unidades flash para que pueda ser distribuida a otras computadoras.

Para obtener información sobre el ransomware y qué pueden hacer los MSP para contraatacar, consulte el Informe sobre el estado del canal de Datto. El informe presenta nuevas estadísticas y pronósticos sobre ransomware y su impacto en las empresas, las principales variantes, las mejores prácticas para la protección de ransomware y más.