Lisandro Pardo
A medida que las técnicas tradicionales pierden efectividad y las soluciones de seguridad se vuelven más robustas, la evolución del malware es prácticamente obligatoria. El concepto de un ransomware que encripte los datos del usuario no es nuevo, pero el flamante Onion, detectado por Kaspersky Labs, utiliza a la red Tor para evitar el rastreo, y a cambio de liberar los archivos cifrados, demanda el pago de un rescate en bitcoins.
La semana pasada estuve tres horas frente a una terminal, purgando una de las infecciones de malware más agresivas que vi en los últimos años. Que el ordenador en cuestión tuviera a Windows XP como sistema operativo no era casualidad, pero fue el comportamiento inapropiado de ciertos usuarios (nótese el plural) lo que realmente provocó la infección. Más allá del dilema que presenta estar jugando en una terminal de trabajo, el hecho es que el usuario se convierte en la primera y última línea de defensa para el ordenador. Todas las decisiones de alto perfil deben pasar por él sí o sí, especialmente a la hora de la seguridad y el mantenimiento. Si a esto le sumamos el relativo éxito que ha tenido el ransomware en los últimos años, lamentablemente, cualquiera llega a la conclusión de que el usuario promedio no sabe o no quiere tomar esas decisiones, y con la dosis exacta de miedo, opta por el atajo más sencillo, que es pagar.
Los últimos ejemplares de ransomware han incrementado notablemente su complejidad. El caso más preocupante es el de Onion, detectado por la gente de Kaspersky Labs. Siguiendo los pasos de otro malware como CryptoLocker, el objetivo de Onion es cifrar los datos personales del usuario con algún algoritmo oscuro, y pedir un rescate específico en bitcoins a cambio de su liberación. Una vez que los archivos fueron cifrados, la víctima tiene un plazo de 72 horas para realizar el pago, o corre el riesgo de perder su contenido en forma permanente. Como si eso fuera poco, Onion tiene la capacidad de utilizar a la red Tor para evadir los procesos de rastreo y conectarse con sus servidores de comando y control. Los pocos elementos disponibles en la investigación apuntan a que el origen de Onion es Rusia, pero su dependencia de Tor arroja un manto de anonimato sobre su mecánica.
No es la primera vez que una variante de malware se apoya en Tor para hacer de las suyas. El reconocido Zeus usó la red en la primera mitad de 2013, sin embargo, quién lo hizo antes es irrelevante en este caso. Fedor Sinitsyn, analista en Kaspersky, explica que Tor se ha transformado en un “método probado”, y que son cada vez más las variantes de malware redirigiendo su contenido a través de esta red anónima. Nuevamente, la prevención es la mejor opción. Respaldos frecuentes (sean locales o en línea), software de seguridad actualizado y firewalls activos forman el tridente principal.
One Comment
Leave a Reply