El CryptoWall es un malware del tipo ransomware, que cifra los archivos de un ordenador infectado y obliga a los usuarios a pagar un rescate para recibir una clave de descifrado. Salió a la luz por vez primera en 2014, pero ha tenido diversas iteraciones, lo que lo convierte en una versión mucho más furtiva que otras similares. Al igual que otros ransomware, CryptoWall encripta los archivos, pero también se oculta en el sistema operativo Windows para ejecutarse persistentemente en cada reinicio.
Historia
Después de que los investigadores detuvieran al CryptoLocker en 2015, los autores de malware tomaron el código del CryptoLocker y lo convirtieron en un nuevo tipo de ransomware llamado CryptoWall. Comenzó como un simple ransomware que usaba HTTP para comunicarse con su servidor de mando y control. Como usaba HTTP, los investigadores podían identificar los patrones del CryptoWall para detenerlo, lo que llevó al CryptoWall 2.0.
El CryptoWall ha tenido varias versiones desde el 2015, y cada nueva versión se ha creado para evitar las defensas de seguridad. CryptoWall ya está en su versión 4.0, y cada nueva versión agrega nuevas funciones para extorsionar a los usuarios. El CryptoWall más reciente, que es la versión 4.0, fue lanzado a finales de 2021, así que sería razonable pensar que se lanzarán nuevas versiones regularmente.
Desglose de las versiones
La primera versión del CryptoWall era un clon del CryptoLocker con servidor de mando y control diferente, así que el cambio más significativo ocurrió cuando se lanzó el CryptoWall 2.0. Sin embargo, las nuevas versiones tienen la misma estrategia de cifrado e implementación mediante phishing, pero la funcionalidad técnica de este sofware malicioso cambia para evitar la detección. Estas nuevas versiones introdujeron la amenaza más significativa a las corporaciones porque ya no se parecen al CryptoLocker original.
CryptoWall 2.0
El principal cambio en el CryptoWall 2.0 fue la manera en que se inserta. Ya no usaba HTTP para comunicarse con el servidor de mando y control, lo que lo hace invulnerable al análisis de los investigadores. Los autores de la versión 2.0 también agregaron funciones de inserción en anuncios de páginas web, aprovecharon vulnerabilidades del navegador para instalar el malware y usaron las vulnerabilidades en software sin actualizar para instalar el ransomware.
CryptoWall 3.0
Después del CryptoWall 2.0, los autores de malware se volvieron más agresivos en la instalación del CryptoWall 3.0. Fue la primera versión que aprovechó el anonimato de la red I2P para ocultar las comunicaciones y su identidad ante los investigadores. El CryptoWall 3.0 comenzó por un correo electrónico de phishing que contenía un enlace que llevaba a un programa de descarga. Ejecutar el descargador conectaba al usuario a uno de varios dominios en los que el ransomware principal se descargaba e instalaba en el ordenador local. En ese punto, el virus seguía las funcionalidades típicas, cifrando archivos y escaneando la red para hallar unidades compartidas abiertas. La nota de rescate se instalaba en el dispositivo local y se mostraba a la víctima después de que sus archivos se cifraban.
CryptoWall 4.0
El CryptoWall 4.0 salió en 2021. Esta versión mejora la comunicación entre el dispositivo local y el servidor de mando y control. Usa un protocolo modificado para evitar la detección por parte de antivirus y reglas de omisión de cortafuegos. CryptoWall también se disemina usando correos electrónicos de phishing, pero esta nueva versión se oculta en el sistema Windows y desactiva la capacidad de restauración del sistema de la víctima.
Todas las versiones de CryptoWall usan un algoritmo de cifrado criptográficamente seguro para cifrar los datos. Las versiones actuales usan RC4, pero las versiones más antiguas del CryptoWall usan RSA-2048. Estas dos versiones hacen imposible descifrar los datos sin las claves privadas. Todas las versiones escanean en busca de unidades asignadas y toman medidas para destruir las copias de seguridad. La versión 4.0 hace cada vez más difícil para recuperar las copias de seguridad, porque destruye las copias ocultas en Windows y desactiva la función de reparación de inicio de Windows.
CryptoWall 5.1
La versión más reciente de CryptoWall es la 5.1; es muy diferente de las versiones anteriores y bien podría tener una base de código totalmente diferente. Está basada en el malware HiddenTear, un troyano de código abierto publicado en GitHub en 2015. Como funciona con una base de código diferente, el CryptoWall 5.1 usa el cifrado AES-256, pero sus demás modos de operación son similares. Diversas variantes, tales como CryptoDefense, son similares a la última versión del CryptoWall.
¿Cómo funciona?
Algunas de las funcionalidades del CryptoWall persisten entre una versión y la siguiente. CryptoWall 4.0 es la versión más reciente con la mayor cantidad de cambios desde la original del 2015. Si bien la función general de un ransomware es cifrar los archivos de los usuarios para que no se puedan recuperar, son las estrategias de cada autor específico lo que hacen que los efectos sean particularmente difíciles de remediar. La recuperación mediante copias de seguridad es la única solución para una incidencia con CryptoWall, aunque éste también busca copias de seguridad para encriptarlas.
El ataque inicial es similar a cualquier otra campaña de ransomware. La víctima recibe un correo electrónico de phishing con un enlace malintencionado. El enlace apunta a una URL en el dominio controlado por el atacante, en donde el usuario debe aceptar descargar el malware. El malware se puede descargar usando un script, un ejecutable o una macro malintencionada. Típicamente, un archivo de descarga se conecta a un dominio controlado por el atacante, donde se almacena el ejecutable del ransomware.
El descargador transfiere los archivos maliciosos al equipo local y los ejecuta. En ese punto, CryptoWall escanea al equipo local para hallar hasta 150 tipos diferentes de extensiones. Cualquier archivo con una extensión que coincida se cifra, y CryptoWall 4.0 cifra los nombres de archivo además de los contenidos de los archivos. El ransomware se incrusta en el sistema operativo Windows, específicamente en los procesos explorer.exe y svchost.exe. CryptoWall también busca destruir cualquier posibilidad de recuperación desactivando las funcionalidades de backup y recuperación, como la función de Reparación de inicio.
Cualquier copia de las instantáneas de volumen (una funcionalidad de Windows para reparar o recuperar copias de seguridad de archivos) queda destruida. Después, el CryptoWall escanea el sistema en busca de unidades asignadas y las cifra. La clave privada se genera y envía al servidor de mando y control con la información acerca del equipo, como la arquitectura, dirección IP, el nivel de privilegio del ransomware y la versión de Windows.
Con la carga útil ya desplegada, CryptoWall almacena tres archivos en el equipo local, incluyendo versiones de texto y HTML de la nota de rescate con instrucciones para pagar el rescate y la recuperación de archivos. Después, al usuario se le indica que descargue el navegador “Tor”, que vaya a una página web específica y que pague el rescate para recuperar sus archivos. Los expertos aconsejan no pagar el rescate, porque no hay garantía real de recibir la clave privada. Sin embargo, muchos usuarios pagan el rescate para poder recuperar sus archivos.
Cómo reconocer una infección de CryptoWall
El proceso de cifrado del CryptoWall se realiza con rapidez, y la infección inicial se ejecuta en segundo plano sin ningún tipo de advertencia. Después de que el CryptoWall despliega su carga útil, muestra una nota de rescate al usuario, explicándole que sus archivos están cifrados y que deben pagar un rescate para recuperarlos.
Además de la nota de rescate, existen otras señales de que un ordenador está infectado con CryptoWall. Las versiones más recientes del CryptoWall cifran tanto los archivos como los nombres de archivo, así que los usuarios no pueden verlos. La estrategia es crear una sensación de urgencia en la víctima para mejorar las probabilidades de que quiera pagar el rescate en vez de hacer una recuperación de un backup.
CryptoWall almacena tres archivos para darles instrucciones a los usuarios. La existencia de estos tres archivos en un sistema indica que el equipo está infectado con CryptoWall:
- HELP_YOUR_FILES.TXT
- HELP_YOUR_FILES.HTML
- HELP_YOUR_FILES.PNG
Cuando los usuarios ven su carpeta de Documentos en Windows, ninguno de los archivos tiene el nombre original. Los nombres de los archivos están reemplazados por los nombres cifrados, que lucen como números y letras aleatorios con extensiones también aleatorias. La nota de rescate y los nombres de los archivos cifrados son dos señales principales de una infección de ransomware CryptoWall.
Qué hacer si resulta víctima
La mayor decisión para los usuarios es si deben pagar o no el rescate. Los expertos aconsejan no pagar el rescate, porque no hay garantía real de recibir la clave privada. Pagar el rescate alimenta al sistema, animando a más atacantes a que creen más ransomware. A veces, el proceso de recuperación tiene errores que corrompen permanentemente a los archivos, con lo que los datos se pierden.
Eliminar el CryptoWall de un sistema no es la parte difícil de la respuesta ante incidencias. Una buena aplicación antivirus elimina el CryptoWall del sistema, pero no puede descifrar los archivos. ¿Cómo desencriptar CryptoWall? La única manera de descifrar los archivos y recuperarlos es tener la clave privada, que está cifrada y protegida contra descubrimiento.
Un buen backup o copia de seguridad permite superar el problema del descifrado, así que los usuarios pueden restaurar sus archivos sin tener la clave privada. Los ransomware, incluyendo al CryptoWall, buscan archivos de backup en el equipo local, unidades de red asignadas y almacenamientos extraíbles para cifrarlos, de modo que los usuarios no los puedan recuperar. Cifrar las copias de seguridad incrementa la probabilidad de que haya que pagar un rescate y mejora la tasa de éxito para el autor del malware.
Prevención
La mayoría de los ransomware comienzan con un correo electrónico de phishing. Típicamente, los usuarios no están conscientes de la existencia de las tácticas de phishing y hacen clic en enlaces sin importar la identidad del remitente y su potencial de ser malware. La capacitación para conciencia de seguridad aporta, pero la mejor ciberseguridad contra el phishing son los filtros de correo electrónico que bloquean los encabezados ocultos y los mensajes sospechosos. Reducir la oportunidad de que un correo electrónico de phishing llegue a la bandeja de entrada de un usuario objetivo es la mejor defensa contra cualquier ransomware.
Los usuarios deben recibir instrucciones de nunca hacer clic en enlaces enviados por remitentes sospechosos, pero algunos hackers envían correos electrónicos malintencionados a la lista de contactos de una cuenta comprometida de correo electrónico. Los usuarios deben evitar aquellos enlaces que descarguen archivos ejecutables automáticamente, y cualquier ejecutable que se haya descargado accidentalmente de un enlace de correo electrónico debería borrarse de inmediato para evitar cualquier daño. Un buen software antivirus detiene a muchos ejecutables, pero no puede parar a los malwares de día cero y no debería ser la única estrategia antimalware usada para evitar el ransomware.
Es recomendable hacer backups frecuentemente, para anticiparse a cualquier posible ciberataque. Estas copias deben protegerse contra los escaneos de ransomware, lo que significa que no deben estar en una unidad compartida donde cualquiera pueda acceder a estos. Deberían estar accesibles solamente a personas con permisos de alto nivel. El almacenamiento basada en la nube es beneficioso para luchar contra el ransomware, porque es inaccesible mediante el uso de unidades compartidas asignadas.
¿Qué daño puede hacer?
La mayoría de las infecciones por CryptoWall ocurren en los EE. UU., Canadá, Países Bajos y Alemania. Estos países representan casi la mitad de las infecciones por CryptoWall a nivel mundial. El rescate medio que se cobra por descifrar los archivos es de unos 500 USD en bitcóin. Algunas infecciones exigen el pago de 1000 USD en bitcóin, así que los costes se han incrementado recientemente.
Para organizaciones con datos críticos, caer víctima del CryptoWall es un incidente que afecta a los ingresos. Detiene la producción y hace imposible manejar las empresas, porque los datos clave no están disponibles. La única manera de recuperarse de un incidente que afecte los ingresos tal como lo hace el ransomware es mediante las copias de seguridad, y es por esto que tener un plan sólido de backup y recuperación ante catástrofes es clave para las organizaciones.
Cómo puede ayudar Proofpoint
En Proofpoint ofrecemos recursos y estrategias para ayudar a nuestros clientes a evitar ataques de ransomware. Nuestro portal de ransomware contiene soluciones, estrategias, consejos e información acerca del ransomware y de cómo puede evitar que se convierta en un evento que afecte a sus ingresos. También tenemos una guía de supervivencia al ransomware para ayudar a nuestros clientes a comprender los peligros y qué daños puede provocar a su negocio. Si un usuario resulta ser una víctima, también le ayudamos a determinar qué pueden hacer los administradores y si se debe o no pagar el rescate.
¿Qué es el ransomware Cerber?
El ransomware Cerber se descubrió en marzo de 2016. Siendo un malware del tipo ransomware-como-servicio (o RaaS, del inglés “ransomware-as-a-service”), puede ser implementado por cualquier persona sin necesidad de tener ninguna habilidad de hackeo o de programación.
Protección contra ataques de ransomware
Proofpoint Targeted Attack Protection (TAP) le ayuda a adelantarse a los agresores, gracias a su innovador enfoque que detecta, analiza y bloquea las amenazas avanzadas antes de que lleguen a su bandeja de entrada.
Ficha de datos: Proofpoint Web Security
Proofpoint Web Security protege a los usuarios frente a todos los tipos de amenazas basadas en Internet mediante la aplicación de controles de acceso dinámicos, políticas de protección contra amenazas avanzadas y de prevención de la pérdida de datos.