Los ataques de ransomware han aumentado y evolucionado en los últimos años dirigiéndose a los controles de seguridad internos. A diferencia de los virus, el ransomware no infecta los archivos o software, si no que los cifra de manera que impide el acceso hasta que se cobre un rescate.

En el informe, Threat Landscape Report, publicado por S21sec se recoge que las ciberamenazas dirigidas al secuestro de datos con extorsión ha incrementado en casi 400.000 muestras más con respecto al mismo periodo del año anterior. Un ejemplo del aumento de los ataques ransomware es el que sufrió Honda por Ekans, o Snake ransomware, diseñado para atacar redes de sistemas de control industrial. 

Certificado digital como vector de ataques ransomware

Aumento de ransomware con certificado digital 

Desde 2011 las Autoridades de Certificación han estado en el punto de mira de los hackers. Los ciberdelicuentes actuaban engañando a las autoridades certificadoras haciéndose pasar por usuarios legítimos y que emitieran el certificado. En ocasiones, les bastaba con la obtención de un certificado SSL válido para un servidor y de esta forma dotar de una certificación falsa a diferentes malware. 

Este tipo de ataques automatizados con código cifrado y firmado ha evolucionado utilizando certificados digitales robados para intentar acceder a los sistemas de seguridad sin levantar sospecha y acceder a laredes internas de las compañías. Al intentar acceder con un certificado no valido, aparece un error, normalmente ERR_CERT_COMMON_NAME_INVALID cuando no coincide la información del certificado digital de la web con el dominio al que hace referencia.  

Los cibercriminales utilizan archivos firmados digitalmente con un certificado válido para la firma de código y de esta forma suplantan la identidad con el fin de recopilar y cifrar datos.  

¿Por qué robar certificados digitales para ataques ransomware? 

El certificado digital nos identifica oficialmente en Internet, ya sea como persona o empresa. Por eso, el uso ilícito de certificados digitales es una puerta de entrada para los ciberdelincuentes, donde encubren el malware con una identidad aparentemente legítima. De esta forma, consiguen acceder a la red interna de la empresa burlando las barreras de seguridad sin levantar sospecha. 

Hace ya una década que se roban certificados digitales para enmascarar el malware. Uno de los casos más conocidos fue el demalware Stuxnet dirigido a infraestructura crítica utilizando certificados digitales robados de RealTek y JMicron. Otro caso más reciente, fue el derobo de certificados digitales a D-Link y Changing en 2018. La campaña de malware detectada estaba firmada con el mismo certificado válido para la firma de código perteneciente a D-Link Coporation, por lo que tuvieron que revocar estos certificados para que su software no estuviera vinculado a este ransomware. 

Que una compañía se vea afectada por un ataque ransomware conlleva numerosas pérdidas, no solo a nivel de costes por el rescate, también por dejar inoperativo el negocio hasta que se revocan los certificados y se vuelven a emitir los nuevos. A todo esto, hay que añadirles la pérdida de reputación. 

Certificados custodiados fuera de los equipos de los usuarios contra el ransomware  

El uso de los certificados digitales ha aumentado exponencialmente en los últimos años y sobre todo en los últimos meses, donde para el teletrabajo y la continuidad del negocio se han vuelto imprescindibles. 

Los responsables de IT de las compañías hacen numerosas recomendaciones para estar protegidos frente al ransomware. Entre sus medidas destacan hacer copias de seguridad, dar a conocer a los empleados las potenciales amenazas y limitar el acceso a la información. Controlar el acceso es un punto clave para proteger los datos de las empresas. 

En Redtrust custodiamos todo tipo de certificados digitales. Los certificados no están distribuidos sin control en los equipos de los empleados, si no que están centralizados en un servidor cifrado. Por lo que nunca se comparte la clave privada, imposibilitando de esta forma el robo y el uso indebido de los certificados para firmar malware.