RansomWeb, una amenaza emergente para las webs de empresas

En estos tiempos todos hemos oído hablar del ransomware, el tipo de malware que cifra los datos de sus víctimas y pide un pago económico, o rescate, para poder descifrar dichos datos y recuperarlos. Esta técnica, también conocida como secuestro de datos, por lo general suele ser bastante rentable para los piratas informáticos, quienes constantemente buscan nuevas técnicas y formas de sacar provecho del secuestro de datos, tanto a usuarios como a empresas.

Una de las técnicas que están ganando protagonismo en los últimos meses es el secuestro de páginas web. A través de diferentes técnicas, los piratas informáticos consiguen acceso al servidor donde instalan un malware que empieza a tomar el control de la web y de la base de datos al completo, aunque aún la permite seguir funcionando debido a que este malware conecta con el servidor de los piratas informáticos y descifra la base de datos en tiempo real.

Tras varios meses, cuando las copias de seguridad antiguas ya han sido modificadas, los piratas informáticos bloquean la conexión del malware con sus servidores, dejando la base de datos cifrada y la web totalmente bloqueada, imposible de conectar con dicha base de datos y perdiendo todos los datos de los usuarios. Una vez que esto ocurre los piratas informáticos se ponen en contacto con los dueños de la web, a quienes piden el rescate para recuperar de nuevo el control sobre su web y sobre la base de datos.

Debido a su similitud con el ransomware convencional que afecta a los archivos de PC, esta técnica se ha denominado por varios expertos de seguridad como RansomWeb.

***

RansomWeb, el secuestro de las webs

Como podemos ver, este sistema de ataque es a largo plazo. Los piratas informáticos controlan el servidor durante al menos 6 meses hasta que finalmente deciden aplicar el bloqueo a la base de datos. Aunque los responsables de la web hagan copias de seguridad, estas no sirven de nada ya que todas ellas seguirán cifradas. La única solución, inviable, es restaurar una copia de seguridad anterior perdiendo todas las entradas guardadas desde el momento de la infección, siempre y cuando la copia de seguridad no se haya sobrescrito.

Por lo general, los piratas informáticos solo cifran las entradas más importantes de la base de datos para evitar que una sobrecarga en el proceso de cifrado/descifrado reduciendo los tiempos de espera que puedan levantar sospechas. Como la clave se almacena de forma segura en el servidor remoto controlado por los piratas, y las conexiones se establecen a través de HTTPS o Tor, es imposible conocer la clave utilizada.

RansomWeb, el ataque perfecto contra páginas web

A diferencia de otras técnicas de ataque (por ejemplo, un malware para realizar ataques DDoS), este tipo de secuestro es prácticamente indetectable y puede durar para siempre. Aunque pague el rescate, los piratas informáticos pueden volver a secuestrar la web y pedir un pago más, por lo que esta técnica puede llegar a ser una completa extorsión a los dueños de las diferentes páginas web.

Los diferentes hosting de páginas web aún no están preparados para afrontar esta nueva amenaza, por lo que a día de hoy la única forma de detectar y bloquear este tipo de infección sería mediante un software que monitorice la integridad de los archivos, sin embargo, este tipo de software es ineficaz para muchos administradores web o responsables de seguridad y apenas se utiliza en la industria de webs con contenido dinámico donde cada pocas horas cambia el contenido.

Ver informacion original al respecto en Fuente:
http://www.redeszone.net/2015/11/04/ransomweb-una-amenaza-emergente-para-las-webs-de-empresas/#sthash.zVERa2zQ.dpuf