La Policía Nacional Holandesa, la Europol, Intel Security y Kaspersky Lab han unido fuerzas para poner en marcha una iniciativa llamada No More Ransom, un paso adelante en la cooperación entre organismos policiales y el sector privado para luchar juntos contra el ransomware. No More de Ransom es un nuevo portal destinado a informar al público sobre los peligros del ransomware y ayudar a las víctimas a recuperar sus datos sin tener que pagar un rescate a los ciberdelincuentes.
El ransomware es un tipo de malware que bloquea el ordenador de la víctima y cifra sus datos, exigiendo el pago de un rescate con el fin de recuperar el control sobre el dispositivo o los archivos afectados. Se trata de una amenaza Top para los organismos policiales de la UE: casi dos tercios de los Estados miembros de la UE están llevando a cabo investigaciones sobre esta forma de ataque de malware. Mientras que los objetivos suelen ser los dispositivos de los usuarios, las empresas e incluso las instituciones gubernamentales pueden verse afectadas también. El número de víctimas está creciendo a un ritmo alarmante: según Kaspersky Lab, el número de usuarios atacados por criptoransomware aumentó en un 5,5%, pasando de 131.000 en 2014-2015 a 718.000 en 2015-2016.
NoMoreRansom.org
El objetivo del portal online www.nomoreransom.org es proporcionar recursos que ayuden a las víctimas del ransomware. Los usuarios pueden encontrar información sobre qué es el ransomware, cómo funciona y, lo más importante, la forma de protegerse. La concienciación es clave, ya que no existen herramientas de descifrado para todos los tipos de malware que existen en la actualidad. Si estás infectado, hay muchas posibilidades de que los datos se pierdan para siempre. Hacer un uso de Internet consciente y responsable y seguir una serie de sencillos consejos de ciberseguridad puede ayudar a evitar la infección.
El proyecto proporciona a los usuarios herramientas que pueden ayudar a recuperar sus datos una vez bloqueados por los cibercriminales. En su etapa inicial, el portal contiene cuatro herramientas de descifrado para diferentes tipos de malware, el último desarrollado en junio de 2016 para la variante Shade.
Shade es un troyano tipo ransomware que surgió a finales de 2014. El malware se propaga a través de sitios web maliciosos y archivos adjuntos de correo electrónico infectados. Tras entrar en el sistema del usuario, cifra los archivos almacenados en el equipo y crea un archivo .txt que contiene la nota de rescate y las instrucciones de los cibercriminales sobre qué hacer para acceder a los archivos personales del usuario de nuevo. Utiliza un fuerte algoritmo de descifrado para cada archivo cifrado, con dos claves 256-bit AES: uno se utiliza para cifrar el contenido del archivo, mientras que el otro se utiliza para cifrar el nombre del archivo.
Desde 2014, Kaspersky Lab e Intel Security impidieron más de 27.000 intentos de Shade de atacar a usuarios. La mayoría de las infecciones se produjeron en Rusia, Ucrania, Alemania, Austria y Kazajstán. Pero también se registró actividad en Francia, República Checa, Italia y los EE.UU.
Al trabajar en estrecha colaboración, el intercambio de información entre las diferentes partes, el servidor de comando y control de Shade utilizado por los delincuentes para almacenar las claves de descifrado fue capturado, y las claves compartidas con Kaspersky Lab e Intel Security. Eso ayudó a crear una herramienta especial que las víctimas pueden descargar desde el portal de para recuperar sus datos sin tener que pagar a los criminales. La herramienta contiene más de 160.000 claves.
Cooperación privada – pública
El proyecto ha sido concebido como una iniciativa no comercial que une a instituciones públicas y privadas bajo el mismo paraguas. Debido a la naturaleza cambiante del ransomware, el portal está abierto a la cooperación de nuevos socios.
Según Wilbert Paulissen, director de la División Nacional de Investigación Criminal de la Policía Nacional de los Países Bajos: “La policía holandesa no puede luchar sola contra la ciberdelincuencia y el ransomware. Esta es una responsabilidad conjunta de la policía, el Departamento de Justicia, Europol, y las empresas TIC y requiere de un esfuerzo conjunto. Por eso, estamos muy satisfechos colaborando con Intel Security y Kaspersky Lab. Juntos vamos a hacer todo lo que esté a nuestro alcance para perseguir a los ciberdelincuentes y conseguir que los archivos regresen a sus legítimos propietarios”.
“El mayor problema del criptoransomware es que cuando los usuarios tienen datos valiosos bloqueados, enseguida pagan a los ciberdelincuentes para recuperarlo. Esto impulsa una economía sumergida y provoca un aumento en el número de ataques. Sólo podemos cambiar la situación si coordinamos nuestros esfuerzos para luchar contra el ransomware. La aparición de herramientas de descifrado es sólo el primer paso. Esperamos que este proyecto crezca, y pronto haya muchas más empresas y organismos policiales de otros países y regiones”, dice Jornt van der Wiel, analista de seguridad del GREAT de Kaspersky Lab.
“Esta iniciativa demuestra el valor de la cooperación público-privada en la adopción de medidas serias en la lucha contra la ciberdelincuencia” dice Raj Samani, director de tecnología de Intel Security EMEA. “Esta colaboración va más allá de intercambio de inteligencia y la educación del consumidor para ayudar realmente a reparar el daño causado a las víctimas. Al restaurar el acceso a sus sistemas, que brindan a usuarios mostrándoles que puedan tomar medidas y evitar recompensar a los criminales con el pago de un rescate”.
Por último, Wil van Gemert, director adjunto de Operaciones de Europol destaca: “Desde hace unos años, el ransomware se ha convertido en una preocupación en la UE. Es un problema que afecta a ciudadanos y empresas por igual, ordenadores y dispositivos móviles, con cibercriminales desarrollando técnicas sofisticadas para causar el mayor impacto en los datos de la víctima. Iniciativas como el proyecto Mo More Ransom demuestra que la vinculación de la experiencia y la unión de fuerzas es el camino a seguir para la lucha exitosa contra el ciberdelito”.
Informar siempre
Informar a la policía del ransomware es muy importante para ayudar a que las autoridades tengan una visión de conjunto más clara y con ello una mayor capacidad para mitigar la amenaza. La página web No More Ransom ofrece a las víctimas la posibilidad de reportar un crimen, que conecta directamente con el resumen de mecanismos nacionales de informes de Europol.
“Si te has convertido en una víctima del ransomware, no pagues el rescate. Al hacer el pago apoyas los negocios de los cibercriminales. Además, no hay garantía de que el pago de la multa devuelva el acceso a los datos cifrados”, concluye señalando Kaspersky.