De acuerdo con información publicada por Kaspersky, TeslaCrypt, CryptoWall, TorrentLocker, Locky y CTB-Locker son sólo algunos de los programas maliciosos a los que se han enfrentado los usuarios en los dos últimos años.
En fechas recientes se ha detectado una nueva variante de CTB-Locker. Antes, este ransomware se diferenciaba de otros por el uso que hacía de la red Tor Project para protegerse y de únicamente recibir bitcoins, la conocida cripto-moneda descentralizada y anónima. Ahora, la nueva variante ataca a servidores web y exige un rescate de menos de medio bitcoin (aprox. 150 USD). Si el pago no se envía en el plazo exigido, el rescate se duplica a 300 USD. Una vez hecho el pago, se genera una llave de decodificación para los archivos.
Una falla de seguridad en el servidor web permite la infección de los archivos, una vez explotado, el sitio web se desfigura. En este caso, la desfiguración, que contiene un sustituto de la página php/html principal, se usa como vehículo del mensaje. Es importante mencionar que no se elimina el código original. Se almacena bajo seguridad en la raíz web con un nombre diferente en un estado codificado. La llave de decodificación se guarda en un servidor remoto, pero se le permite a la víctima decodificar dos archivos de forma gratuita, como muestra de su autenticidad. Otra función que existe en el sitio web atacado le permite a la víctima comunicarse con el atacante mediante chat: se requiere una firma/código personal solo disponible para las víctimas.
Aún no se sabe cómo CTB-Locker se instala en los servidores web, pero hay un elemento común entre los servidores atacados: utilizan la plataforma de WordPress como herramienta de gestión de contenidos. WordPress contiene muchas vulnerabilidades en sus versiones no actualizadas. También los plugins de terceros para WordPress hacen que el servidor sea más vulnerable a los ataques, ya que los autores de plugins no están comprometidos con ningún tipo de medidas de seguridad.
Por el momento, la única forma de eliminar esta amenaza en pocos segundos es mantener copias de seguridad de los archivos en otra parte. Incluso, algunos sitios web suelen tener múltiples versiones de sus contenidos, propagados en varios servidores web. En muchos otros casos, son supervisados y probados por profesionales en pruebas de seguridad anti-penetración.