Dentro de todas las amenazas que pueden afectar a nuestros dispositivos, sin duda el ransomware es una de las más importantes. Como sabemos puede cifrar nuestros sistemas y dispositivos. Podría dejar todos los archivos almacenados sin poder recuperarlos y perder toda la información. En este artículo nos hacemos eco de Pay2Key, una nueva amenaza que es capaz de cifrar toda la red en apenas una hora.
Pay2Key, el ransomware que cifra la red en una hora
Estamos ante uno más de los muchos ransomware que hay en Internet. Sin embargo Pay2Key tiene la peculiaridad de que es capaz de cifrar la red en muy poco tiempo. Un informe llevado a cabo por Check Point indican que los atacantes detrás de esta amenaza muy probablemente estén utilizando el Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) para lograr obtener acceso a los equipos de las víctimas.
En primer lugar los intrusos logran infiltrarse en las redes de la víctima. A partir de ahí empiezan a cifrar rápidamente los sistemas y en menos de una hora pueden difundir el ransomware por toda la red.
Cuando estén dentro de la red, los piratas informáticos configuran un dispositivo pivote que será el que utilicen como proxy para todas las comunicaciones que salgan entre los diferentes equipos infectados con esta amenaza y los servidores de comando y control.
Con esto último logran evadir o disminuir el riesgo de ser detectados antes de cifrar todos los sistemas accesibles en la red mediante el uso de un único dispositivo.
Rescate para recuperar el control
El ransomware, como hemos indicado, puede cifrar archivos o dispositivos y posteriormente pedir un rescate a cambio. El objetivo es lucrarse a través de este tipo de ataques. En el caso de Pay2Key no estamos ante una excepción.
Los atacantes solicitan un rescate para poder recuperar el control de esos equipos conectados a la red que se ha visto afectada. Para lograr esto utilizan la herramienta PsExec de Microsoft para ejecutar de forma remota cargas útiles de ransomware llamadas Cobalt.Client.exe.
Una vez ha logrado ejecutar el ransomware, los atacantes mostrarán una nota de rescate. Ahí es el momento en el que la víctima ve la cantidad de dinero a pagar y el proceso que debería hacer para recuperar el control.
El ransomware utiliza un esquema de cifrado híbrido simétrico y asimétrico que emplea los algoritmos AES y RSA, siendo el servidor C2 el que entrega una clave pública RSA en tiempo de ejecución, lo que indica que Pay2Key no podrá cifrar equipos sin conexión a Internet o si el servidor de comando y control está desconectado.
Según indican los investigadores de seguridad que han detectado este problema, este ransomware únicamente ha sido detectado, al menos de momento, por el motor antimalware de VirusTotal. Esto hace que no sea fácil por nuestro antivirus detectar el problema.
Esto hace que una de las principales barreras de seguridad sea el sentido común. Debemos evitar errores que puedan comprometernos, como por ejemplo descargar archivos adjuntos del correo electrónico que puedan ser un problema, así como fallos a la hora de utilizar los dispositivos.
Es esencial que tomemos medidas preventivas frente al ransomware, ya que como hemos visto es una de las amenazas más peligrosas. Os dejamos un artículo donde mostramos los archivos adjuntos peligrosos más comunes.