Administrador De Red

¿Qué es el ransomware RSA-4096 y cómo protegerse contra él?

¿Qué es el ransomware RSA-4096 y cómo protegerse contra él?



RSA ransomwareutiliza un tipo específico de cifrado para paralizar las empresas específicas. Este es el cifrado RSA

RSA-4096 es un cifrado de cifrado legítimo . Es uno de los mejores sistemas de cifrado que puede utilizar para proteger sus datos durante la transmisión. Pero, lamentablemente, un sistema que está disponible universalmente puede ser utilizado tanto por malhechores como por empresarios honestos. RSA-4096 ransomware es un ataque de ransomware que utiliza el cifrado RSA con una clave de 4096 bits; no es el nombre de un paquete de ransomware específico.



¿Qué es RSA?

El nombre ' RSA ”se aplica a un cifrado de cifrado y a la empresa que gestiona y distribuye el sistema de cifrado. ese negocio se llama RSA Seguridad LLC .

Tres personas crearon el sistema de cifrado RSA: Ron Rivest , Adi Shamir , y Leonardo Adleman . El nombre del sistema proviene de la primera letra de esos tres apellidos. Luego trabajando en el Instituto de Tecnología de Massachusetts (MIT), los tres idearon RSA en 1977. El producto que crearon obtuvo una patente en 1983. Pero, desafortunadamente, esa patente fue otorgada al MIT, no a los tres inventores individuales.



A pesar de no poseer la patente, los tres acordaron con el MIT obtener el uso exclusivo de la tecnología que inventaron y crearon la empresa RSA. El original patentar del cifrado RSA se agotó en septiembre de 2000, por lo que la fórmula para RSA se hizo pública.

El cifrado RSA es la característica de seguridad que convierte el Protocolo de transferencia de hipertexto ( HTTP ) en el Protocolo de transferencia de hipertexto/Secure ( HTTPS ). Es responsable de proteger las transacciones web y también se usa ampliamente en red privada virtual (VPN) sistemas.

Entonces, RSA no es ransomware; es un sistema de protección para transmisiones por internet. Sin embargo, la estructura de RSA lo hace ideal para los piratas informáticos que crean ransomware.

¿Qué es la criptografía de clave asimétrica?

La fórmula utilizada para descifrar datos en un sistema de cifrado de clave asimétrica es diferente de la fórmula que lo cifró. Las dos fórmulas pueden llegar a los mismos resultados utilizando otras claves. La clave es una variable: es uno de los números que se insertan en la fórmula y alteran sus efectos. Por lo tanto, no le sirve de nada conocer la fórmula porque aún no podrá descifrar el cifrado de otra persona si no tuviera ese número faltante. Es por eso que el sistema RSA pudo sobrevivir y prosperar incluso después de que la fórmula se hiciera pública en 2000.

Para una explicación sencilla de criptografía asimétrica , considere que 2 x 10 = 20 y 4 x 5 = 20. Imagine que la fórmula de cifrado implica agregar un número al código ASCII de un carácter. Ese número se deriva de la fórmula: 2 xY. Puede descifrar ese texto restando un número y generando el código ASCII original. La fórmula de descifrado es 4 xCon. Entonces, si desea que alguien cifre un texto que su clave de descifrado diferente desbloqueará, genere pares de claves.YyCon. Usted envíaYa su corresponsal para su cifrado. Luego, el corresponsal le envía el texto cifrado y usted lo descifra utilizando la fórmula de descifrado, ingresandoCon.

En RSA, la fórmula es infinitamente más complicada que el ejemplo dado aquí. Es tan inteligente que es imposible para que cualquiera que intercepte la clave de cifrado averigüe cuál es la clave de descifrado. En el sistema RSA, no puede descifrar un texto utilizando la clave de cifrado.

En criptografía asimétrica, es una práctica común publicar la clave de cifrado pero mantener en secreto la clave de descifrado. Por lo tanto, la clave de cifrado también se conoce como clave pública y la clave de descifrado se llama clave privada. Por lo tanto, los sistemas de claves asimétricas también se conocen como “ cifrado de clave pública .”

¿Qué es 4096?

La clave puede ser fácil de adivinar sustituyendo posibles valores. Esto se llama un ataque de fuerza bruta . Sin embargo, el tiempo que lleva descifrar una clave de cifrado recorriendo todos los valores posibles se vuelve más complicado con claves más largas.

La longitud de las claves de cifrado se expresa en bits, no en caracteres. Como los bits se guardan en bytes, de ocho bits de longitud, las longitudes de las claves de cifrado suelen ser múltiplos de ocho.

RSA comenzó con un clave de 1024 bits . Desafortunadamente, esto requeriría muchos recursos y mucho tiempo para resolverlo. Los piratas informáticos no se molestan en comprar computadoras masivas y tardan años en descifrar una clave de cifrado. Esto se debe principalmente a que los sistemas de ciberseguridad cambian con frecuencia las claves que utilizan, por lo que cuando el hacker logra descifrar una clave de 1024 bits mediante fuerza bruta, ya no se utiliza.

Aunque los piratas informáticos no tienen los recursos para descifrar el cifrado, los gobiernos sí los tienen. El gobierno chino está especialmente interesado en descifrar el cifrado RSA porque se utiliza habitualmente en las VPN para proteger el tráfico de Internet. Se cree que los técnicos del gobierno chino lograron descifrar RSA con una clave de 1024 bits, por lo que esta longitud de clave ya no se considera segura.

La siguiente longitud más alta de la clave RSA disponible es de 2048 bits. La mayoría de ransomware utiliza RSA con un clave de 2048 bits . Sin embargo, la versión más robusta e indescifrable de RSA utiliza un clave de 4096 bits .

Es probable que ahora puedan descifrar la clave de 1024 bits; los técnicos del gobierno chino están ocupados buscando una manera de descifrar el siguiente paso, que es la clave de 2048 bits. Para ganar algo de tiempo, lo más consciente de la seguridad Las organizaciones de todo el mundo han aumentado su protección al pasar a una clave de 4096 bits para su cifrado RSA. Lamentablemente, un pequeño número de productores de ransomware han implementado la misma estrategia.

RSA-4096 ransomware

Aunque una clave más larga es más segura, requiere más procesamiento y el cifrado con claves largas puede tomar mucho tiempo completar. Los piratas informáticos no quieren que el proceso de cifrado sea lento. Si una empresa objetivo cuenta con sistemas de protección de archivos, el software de seguridad detectará el ataque de ransomware con el primer cifrado.

RSA-4096 no solo es lento, sino que todo el sistema RSA requiere mucho tiempo y no se recomienda para cifrar grandes cantidades de datos. En cambio, hay cifrados mejores y más rápidos que se puede utilizar para cifrar archivos.

El cifrado más aclamado en funcionamiento en el mundo hoy en día es el Estándar de cifrado avanzado (AES). Este es un cifrado simétrico, lo que significa que se utiliza la misma clave para cifrar y descifrar datos. Los sistemas simétricos requieren claves mucho más cortas y la longitud de clave más alta en funcionamiento con AES es 256 bits .

Los piratas informáticos utilizan AES-256 para cifrar archivos, almacene las claves de cifrado en un archivo en la computadora de destino y cifre ese archivo con RSA-4096 cifrado. Otro cifrado de clave simétrica que los piratas informáticos utilizan ampliamente es salsa20 . Por lo tanto, si ha sido atacado por un ransomware basado en RSA, sus archivos se han cifrado con AES-256 o Salsa20.

¿Cómo funciona el ransomware RSA-4096?

A los piratas informáticos de ransomware les gusta utilizar el cifrado RSA porque no importa si los analistas de seguridad descubren la clave de cifrado. En algunos ransomware, la clave RSA es codificado en el programa. En otros casos, como el software de ataque más sofisticado que utiliza RSA-4096, la clave de cifrado se incluye con el paquete de ataque en un archivo separado . Esto permite a los piratas informáticos utilizar fácilmente una clave RSA diferente para cada ataque.

En la mayoría de los casos, el ransomware genera una clave AES separada para cada archivo que cifra. Luego escribe el nombre del archivo original y la clave de cifrado en un archivo de base de datos. Normalmente, el programa de cifrado cambiará el nombre del archivo cifrado. Una vez que se han convertido todos los archivos, el ransomware cifra el archivo de la base de datos con RSA-4096. A veces, la clave también se muestra en la nota de rescate.

Cuando las víctimas contactan a los piratas informáticos para negociar el pago de un rescate, deben proporcionar la clave como identificador. Si los piratas informáticos pretenden restaurar los sistemas de las víctimas que pagan, devuelven un descifrador , que ya tiene incorporada la clave de descifrado correspondiente. Este descifrador primero descifra el archivo de la base de datos y luego analiza cada línea de ese archivo, descifrando el archivo al que se hace referencia con la clave AES almacenada.

En algunos casos, el ransomware generará un ID de ataque independiente. El programa necesita enviar el ID y la clave de cifrado RSA al servidor de comando y control en esos casos . En casos esporádicos, la clave RSA es generado localmente, y la clave de descifrado se envía con el ID del ataque y luego se elimina de la computadora local.

¿Qué ransomware utiliza RSA-4096?

Aunque la mayoría de los ransomware utilizan RSA para su capa externa de cifrado, el cifrado suele implementarse con una clave de 2046 bits. Sólo un puñado de ransomware conocidos actualmente utilizan RSA con una clave de 4096 bits y todos cifran archivos con AES-256. Estos son:

Versiones anteriores de Cripta Tesla no utilizó el cifrado RSA para proteger el archivo de índice de clave de cifrado. En su lugar, utilizó un cifrado simétrico, que los consultores de seguridad pudieron descifrar. Los piratas informáticos cambiaron esta protección a RSA con la versión 3 del ransomware.

Cómo protegerse contra el ransomware RSA-4096

Desafortunadamente, hay no hay manera de romper el cifrado RSA-4096 que protege la base de datos de claves de cifrado en estos ataques de ransomware. Sin embargo, los grupos de piratas informáticos que operan ransomware basado en RSA-4096 envían un descifrador a los pagadores del rescate que permite que el sistema se restaure por completo.

La mejor política es evitar que todas las formas de ransomware ingresen a su sistema. Hay dos formas en que el ransomware con RSA-4096 llega a su objetivo. Uno es a través de un archivo adjunto de correo electrónico infectado o una descarga de torrent falsa, y el otro es a través de una conexión usando PDR .

Asegúrese de que sus puertos RDP estén cerrados o que requieran una contraseña segura para acceder. Eduque a sus usuarios contra la descarga de archivos adjuntos de correos electrónicos.

Su estrategia de defensa también debe incluir antiransomware automatizado software de seguridad.

Las mejores herramientas para defenderse del ransomware RSA-4096

Monitoreo de integridad de archivos Es útil para bloquear un ataque de ransomware. También es esencial respaldo todos sus archivos con frecuencia y asegúrese de que ningún virus pase al servidor de respaldo.

El mejor sistema de protección para prevenir el ransomware debe ser combinar servicios de prevención, sistemas de detección y mecanismos de respuesta a emergencias. Aquí hay dos paquetes que debes considerar.

1. CrowdStrike Falcon Insight (PRUEBA GRATUITA)

Información sobre el halcón de CrowdStrike

Información sobre el halcón de CrowdStrike es un sistema coordinado de detección y respuesta de puntos finales que opera la supervisión basada en la nube de los dispositivos residentes AV de próxima generación software. Ese paquete de punto final está disponible individualmente como Halcón prevenir . Entonces, Falcon Insight es Falcon Prevent con una consola SaaS para administrar cada instancia AV.

Características clave:

  • Sistema híbrido
  • Centraliza la detección de amenazas
  • Protección local
  • Detección de día cero
  • Puede cubrir múltiples sitios

El Conocimiento El controlador de la nube monitorea los informes de actividad enviados por los agentes de punto final y busca indicadores de compromiso, de manera muy similar a un SIEM . En primer lugar, el servicio en la nube obtiene una fuente de inteligencia sobre amenazas que ajusta las búsquedas de indicadores. Luego, los agentes del punto final realizan sus comprobaciones, lo que significa que la protección continúa incluso si el dispositivo se desconecta de la red.

El paquete Insight incluye respuesta instantánea medidas, aislando el dispositivo para evitar la propagación de virus, como el ransomware. También puede cerrarse, comprometer cuentas de usuarios y eliminar procesos sospechosos.

Ventajas:

  • La protección del dispositivo continúa incluso cuando el punto final está desconectado de la red.
  • Agente de dispositivo disponible para Windows, Linux y macOS
  • Puede incluir puntos finales en múltiples sitios y también los dispositivos de los empleados que trabajan desde casa.
  • Centraliza la búsqueda de amenazas con una inteligencia de amenazas constantemente actualizada.
  • Proporciona un grupo común de inteligencia sobre amenazas para todos los puntos finales.

Contras:

  • La prueba gratuita solo cubre el elemento de punto final

El sistema Falcon busca anomalías de actividad en lugar de una lista de archivos o nombres de procesos. Esto le permite bloquear ataques de día cero. Puedes conseguir unPrueba gratuita de 15 díasde Falcón Prevent.

CrowdStrike Prevent Comienza la prueba GRATUITA de 15 días

dos. GestionarEngine DataSecurity Plus

GestionarEngine DataSecurity Plus

GestionarEngine DataSecurity Plus es una elección crucial si su sistema contiene datos confidenciales. Esto se debe a que ~el robo o daño a datos confidenciales puede causarle a su empresa una gran cantidad de dinero en multas y litigios.

Características clave:

  • Descubrimiento de datos confidenciales
  • Protección de Datos
  • Monitoreo de integridad de archivos
  • Seguimiento de la actividad del usuario

El sistema DataSecurity Plus incluye un monitor de integridad de archivos (FIM). Esto detecta cambios no autorizados en los archivos y detecta tempranamente la actividad de cifrado del ransomware.

Las respuestas rápidas incluidas en DataSecurity Plus incluyen finalizar procesos, suspender cuentas de usuario, bloquear la comunicación con direcciones IP específicas y aislar el dispositivo de la red. Además, DataSecurity Plus protege los dispositivos que ejecutan ventanas , que son los objetivos habituales del ransomware RSA-4096.

Ventajas:

  • Alerta temprana de ransomware al detectar cambios en los archivos
  • Reacción rápida a las señales de malware para detener la actividad maliciosa
  • Proporciona una pista de auditoría
  • Aísla los dispositivos infectados para evitar que la amenaza se propague

Contras:

  • Sólo disponible para Windows Server

ManageEngine DataSecurity Plus se instala en Servidor de windows, y esta disponible para una prueba gratuita de 30 días .

^