El brote de ransomware de WannaCry ha planteado muchas preguntas acerca de cómo funciona el rescate y qué se puede hacer al respecto. ¿Cómo entra en un sistema? ¿Qué hace cuando está allí? Nuestra serie Spotlight en Ransomware explora las diferentes etapas de un ataque de ransomware. Enfoque de esta semana: cifrado de ransomware.

Una infección de ransomware es una de las formas más rápidas de tener todos sus archivos personales cifrados y potencialmente perdidos para siempre. El uso de cifrado hace que la amenaza del delito sea creíble y da a los autores de malware control sobre sus datos. Con los métodos de encriptación empleados cada vez más sofisticados, es cada vez más difícil para los buenos a proporcionar ayuda gratuita.

Siga con nosotros para explicar qué es el cifrado de archivos, los diferentes métodos que utilizan los desarrolladores de ransomware y por qué entender el cifrado es crucial para recuperar los archivos de las víctimas.

Breve reseña sobre criptografía y criptoanálisis

La criptografía (del griego: escritura oculta o secreta) es la práctica de técnicas que impiden que terceros o el público lean mensajes privados. Utiliza el cifrado para codificar el texto sin formato (los datos no cifrados) en cifrado (los datos encriptados) para ocultar el contenido del mensaje a terceros que buscan.

Hay 4 objetivos principales para la criptografía:

• Confidencialidad: sólo el destinatario puede entender el mensaje.

• Integridad: el mensaje no se puede editar sin que se detecte la manipulación.

• No repudio: el remitente no puede negar sus intenciones al crear el mensaje, y

• Autenticación: el remitente y el destinatario pueden identificar que se están comunicando entre sí.

La criptografía moderna existe en la intersección de las disciplinas de matemáticas, ciencias de la computación e ingeniería eléctrica, y tiene amplias aplicaciones, incluyendo comunicaciones militares, comercio electrónico, tarjetas ATM, contraseñas de computadoras. Básicamente cualquier cosa donde la comunicación segura es esencial.

El criptoanálisis, definido como el estudio de sistemas criptográficos con el objetivo de encontrar debilidades y recuperar el contenido de mensajes encriptados, evolucionó en paralelo con la criptografía. A pesar de que la palabra sólo se acuñó en la década de 1920, la práctica de romper códigos y cifras se remonta hasta el siglo IX. El criptoanálisis desempeñó un papel decisivo durante la Segunda Guerra Mundial para descifrar la inteligencia alemana asegurada por máquinas Enigma, que usaban una clave simétrica no cifrada para el remitente y el receptor del mensaje.

Desde entonces, la aparición y el crecimiento explosivo de la potencia informática permitió métodos de cifrado cada vez más complejos que no sólo se utilizan para proteger sus mensajes de correo electrónico y tráfico web, sino también, por desgracia, para mantener sus archivos de rescate por los ciberdelincuentes.

Métodos de cifrado: Simétrico v asimétrico

Los métodos de cifrado se han vuelto increíblemente complejos en comparación con los primeros cifrados de sustitución utilizados por Julio César, donde las letras en texto plano simplemente se reemplazan por desplazar hacia adelante o hacia atrás una cantidad fija de posiciones a lo largo del alfabeto.

Dado que la estructura del texto plano es la misma que el mensaje encriptado, es fácil detectar patrones mediante el análisis de frecuencia para identificar con qué frecuencia y en qué secuencia aparecen los caracteres.

Encriptación simétrica: rápida pero vulnerable

Sin embargo, el cifrado anterior es un ejemplo sencillo de cómo funciona el cifrado simétrico: tanto el remitente como el receptor cambian la letra del mismo número fijo de posiciones. Este número de posiciones es lo que se conoce como la "clave". Por lo tanto, es imprescindible que la clave se mantenga en secreto, por lo que el cifrado simétrico a menudo se conoce como "cifrado de clave secreta".

Existen dos tipos principales de cifrado simétrico: cifrado de bloques y cifrado de flujo.

Como su nombre indica, los cifrados de bloque funcionan cifrando en bloques de tamaño de byte usando la misma clave. El mensaje en sí se divide en varios bloques dependiendo de la longitud, y se añaden datos predecibles para extenderlo a un bloque completo en un proceso conocido en la criptografía como relleno. Las cifras de bloques más comunes que encontrarás son AES y Blowfish, el primero de los cuales se utiliza a menudo en el cifrado de ransomware.

Por otro lado, los cifrados de flujo cifran cada dígito del texto plano a la vez (generalmente en forma de un bit), con la ayuda de un flujo de claves pseudoaleatorias. Esto significa que se utiliza una clave diferente de la secuencia para cada uno de los bits. Un operador matemático "exclusivo o" (XOR, para abreviar) luego combina los dos para crear el texto cifrado. Los cifrados corrientes en uso incluyen hoy RC4 y Salsa20.

Lo que caracteriza a cada uno de estos métodos de cifrado simétrico es que tienen bajos requerimientos computacionales para funcionar y usan sólo una clave para encriptar y desencriptar el mensaje.

Esto último plantea una pregunta importante sin embargo: ¿cómo secretamente comunicar la clave sin que alguien escucha en el intercambio?

Encriptación asimétrica: segura pero lenta

El cifrado asimétrico, también conocido como cifrado de clave pública, tiene la respuesta: utiliza un par de claves, que consisten en un público y un privado.

La clave pública está destinada a ser distribuida ampliamente, mientras que la clave privada sólo está en posesión del propietario de la pareja de claves. Los mensajes cifrados con la clave pública sólo se pueden descifrar con la clave privada, mientras que los mensajes cifrados con la clave privada solo se pueden descifrar con la clave pública.

Como resultado, los algoritmos de cifrado asimétrico no sólo le permiten cifrar y descifrar los mensajes, sino también permitir la autenticación de ese mensaje, ya que sólo el propietario de la clave privada puede crear un mensaje decryptable por la clave pública.

En la base de la mayoría de los sistemas de criptografía asimétrica es usualmente un algoritmo que requiere operaciones pesadas computacionalmente. Los más comunes en uso hoy en día son Diffie-Hellman-Merkle, RSA y criptografía de curva elíptica. Al explicar cada uno de estos sería más allá del alcance de este artículo, hay un artículo bastante profundo en ArsTechnica si usted es lo suficientemente valiente como para sumergirse en las matemáticas detrás de ellos.

La conclusión es que el cifrado asimétrico permite un cifrado relativamente seguro sin necesidad de una clave secreta compartida, pero la compleja naturaleza computacional hace que sea inviable para grandes conjuntos de datos.

Dado que ambos tipos de encriptación tienen sus ventajas y desventajas únicas, la mayoría de las implementaciones (incluyendo autores de ransomware) usarán una combinación de ambos: cifrado simétrico con una clave generada al azar, usualmente denominada clave de sesión, para cifrar el mensaje o archivos reales, A continuación, un algoritmo asimétrico para cifrar la clave de sesión utilizada.

Términos comunes de criptología

Mensaje: Los datos que desea proteger mediante cifrado; Esto puede ser texto como en un mensaje real o un archivo.

Texto sin formato: El mensaje sin cifrar

Texto cifrado: el mensaje encriptado

La llave: El componente que es utilizado por un algoritmo de cifrado para convertir un texto sin formato en un texto cifrado y viceversa.

Cifrado de bloques: cifrado simétrico en bloques de bytes.

Stream cifrado: el uso de un keystream para cifrar un bit a la vez.

Encriptación de clave simétrica (secreta): La misma clave se utiliza para el cifrado y desencriptación de un mensaje.

Encriptación de clave asimétrica (pública): se utilizan diferentes claves para cifrar y descifrar un mensaje.

Cómo los autores de ransomware utilizan cifrado: CryptoLocker

Para ver cómo exactamente los autores de malware utilizan cifrado para sus nefastos propósitos vamos a echar un vistazo a la familia de un ransomware que fue tan prolífico y generalizado que su nombre es, hasta el día de hoy, utilizado sinónimo de todos los ransomware: CryptoLocker.

CryptoLocker no era ciertamente el primer archivo que cifraba el ransomware, pero era definitivamente la primera familia importante del ransomware que consiguió atención extensa de los medios. Utiliza cifrado simétrico AES de 256 bits para el cifrado de archivos real y cifrado RSA asimétrico para la comunicación y la seguridad de la clave de sesión simétrica.

Como era de esperar, la forma en que CryptoLocker opera se ha convertido en un modelo para muchas otras familias de ransomware que siguieron, por lo que es un estudio de caso ideal para mostrar cómo utiliza el cifrado para bloquear sus archivos.

1.Establecimiento de comunicaciones seguras

Cuando llega a un sistema, CryptoLocker viene con nada más que una clave pública RSA (= asimétrica), utilizada por el ransomware para establecer un canal seguro a su servidor de comando y control. El ransomware maneja toda la comunicación entre sí y el servidor del autor del malware a través de este canal. El uso del cifrado de clave pública tiene dos ventajas principales en este caso:

1. Cualquier tercero escuchando en la comunicación de red no podrá ver los mensajes de texto sin formato que se intercambian entre CryptoLocker y su servidor. Todo lo que un analista de malware vería al tratar de entender el protocolo por olfatear el tráfico de red es un montón de charlatan cifrado.

2. Sin embargo, lo más importante es que los autores de malware no sólo ocultan sus mensajes de miradas indiscretas, sino que también aseguran que el servidor al que se dirige el ransomware pertenece a los autores de malware.

Recuerde: Cualquier clave pública sólo descifra los mensajes que fueron cifrados por su clave privada correspondiente, a la que sólo el autor de malware tendrá acceso.

Como resultado, el cifrado de la comunicación con RSA no sólo asegura su secreto, sino también su autenticidad. De esta manera, un organismo encargado de hacer cumplir la ley que se apodera de dominios de mando y control no puede simplemente asumir el control del malware emitiendo sus propios comandos.

2. Encriptado de archivos

Durante la comunicación, CryptoLocker solicitará una segunda clave pública RSA desde su servidor que es exclusivo de la víctima. A continuación, sigue adelante y crea una clave de sesión AES de 256 bits que utilizará para cifrar los archivos de la víctima. Como se mencionó anteriormente, criptografía asimétrica como RSA no es muy adecuado para cifrar grandes cantidades de datos directamente, ya que es relativamente lento en comparación con sus primos simétricos. El uso de un algoritmo simétrico como AES para cifrar la mayor parte de los datos de usuario es por lo tanto mucho más eficiente.

3. Asegurar la clave compartida

Como paso final, CryptoLocker cifra la clave AES de 256 bits utilizando la clave pública RSA asimétrica específica de la víctima y la almacena junto con los datos del archivo cifrado.

Una vez que el proceso de encriptación finalice, el ransomware borrará la clave de sesión AES de su memoria, asegurándose de que no se deje ningún rastro. Sólo el propietario de la clave privada de la víctima, que se generó y se almacena sólo en el servidor del autor del malware, es capaz de descifrar la clave de sesión AES desde los archivos cifrados y descifrar los archivos una vez que las víctimas han pagado el rescate.

Ransomware aprovecha las ventajas de la codificación asimétrica y simétrica para bloquear los archivos de la víctima en cuestión de segundos, en lugar de horas. Recuperarlos sin pagar a los criminales es casi imposible.

Entender el cifrado ayuda a combatir el ransomware

Analizar el cifrado de ransomware es increíblemente complejo. Apenas arañamos la superficie en este artículo, sin embargo, este resumen de alto nivel de cómo ransomware bloquea sus archivos le dará una idea del trabajo duro que nuestro equipo de laboratorio hace sobre una base diaria para tratar de crear Decrypters ransomware para ayudar a las víctimas afectadas. ¡Gratis!

A veces tenemos suerte: Ransomware que sólo depende de cifrado simétrico, como el Harasom, "oculta" la misma clave que utiliza para cifrar cada archivo en cada sistema en el propio ejecutable de ransomware.

Queremos que los autores de ransomware siempre lo hicieron tan fácil ...

El cifrado más complejo de Cryptolocker hace que sea mucho más difícil de romper, pero también abre la puerta a fallas en la implementación, al igual que los bugs se colan en legit, aplicaciones profesionales que los hacen explotables.

Tome CryptoDefense por ejemplo: esta familia de ransomware se lanzó después de CryptoLocker y utilizó casi exactamente el mismo enfoque con una diferencia menor: En lugar del servidor generando la clave privada y pública para la víctima, generó el par de claves en el sistema de la víctima y luego lo envió Apagado a su servidor de comando y control. Afortunadamente para nosotros, los autores de CryptoDefense no leyeron la documentación de la biblioteca de cifrado que usaron correctamente y accidentalmente guardaron el par de claves generado en el sistema de la víctima. A partir de ahí nos resultó fácil encontrar esas claves y usarlas para restaurar cualquiera de los archivos de la víctima.

La protección es mejor que limpiar el desorden

Como con todo tipo de malware, es mejor ser protegido en primer lugar y luego tratar de limpiar después. Esto es aún más relevante en el caso de ransomware. Así que no espere hasta que sea demasiado tarde y asegúrese de que está protegido por una buena solución anti-malware.

#Ransomware #cifrado #WannaCry