Ransomware es un tipo de malware que impide el acceso normal a un sistema o archivos, a menos que la víctima pague un rescate. La mayoría de la gente está familiarizada con las variantes de crypto-ransomware, donde los archivos están encerrados en un cifrado no cifrable, pero el paradigma es mucho más antiguo que eso.
De hecho, el ransomware data de hace casi diez años. Al igual que muchas amenazas de seguridad informática, se originó en Rusia y países limítrofes. Desde su primer descubrimiento, Ransomware ha evolucionado para convertirse en una amenaza cada vez más potente, capaz de extraer rescates cada vez mayores.
Early Ransomware: desde Rusia con odio
Los primeros ejemplares de ransomware fueron descubiertos en Rusia entre 2005 y 2006. Estos fueron creados por delincuentes organizados rusos, y dirigidos en gran parte a las víctimas rusas, así como a los que viven en los países vecinos nominalmente rusófonos, como Bielorrusia, Ucrania y Kazajstán.
Una de estas variantes de ransomware se llamaba TROJ_CRYZIP.A. Esto fue descubierto en 2006, mucho antes de que se acuñara el término. Afectó en gran medida a las máquinas que ejecutan Windows 98, ME, NT, 2000, XP y Server 2003. Una vez descargado y ejecutado, identificaría los archivos con un cierto tipo de archivo, y los movería a una carpeta ZIP protegida por contraseña, habiendo eliminado el originales. Para que la víctima recupere sus archivos, ellos tendrían que transferir $ 300 a una cuenta de E-Gold.
E-Gold se puede describir como un predecesor espiritual de BitCoin. Una moneda digital anónima, basada en oro, que era administrada por una compañía con sede en Florida, pero registrada en Saint Kitts y Nevis, ofrecía un relativo anonimato, pero rápidamente se volvió favorecida por los criminales organizados como un método para lavar dinero sucio. Esto llevó al gobierno de EE. UU. A suspenderlo en 2009, y la empresa cerró poco después.
Más tarde, las variantes de ransomware usarían criptomonedas anónimas como Bitcoin, tarjetas de débito prepagas e incluso números de teléfono de tarifa premium como método de pago.
TROJ_RANSOM.AQB es otra variante de ransomware identificada por Trend Micro en 2012. Su método de infección fue reemplazar el Master Boot Record (MBR) de Windows con su propio código malicioso. Cuando la computadora arrancara, el usuario vería un mensaje de rescate escrito en ruso, que exigía que la víctima pagara 920 Hryvnia ucranianos a través de QIWI, un sistema de pagos de propiedad rusa con sede en Chipre. Cuando se pague, la víctima obtendría un código que le permitiría restaurar su computadora a la normalidad.
Dado que muchos de los operadores de ransomware identificados se identifican como procedentes de Rusia, podría argumentarse que la experiencia adquirida al apuntar al mercado interno los ha hecho más capaces de dirigirse a los usuarios internacionales.
Para, policía!
Hacia finales de la década de 2000 y comienzos de la década de 2010, el ransomware fue cada vez más reconocido como una amenaza para los usuarios internacionales. Pero aún quedaba un largo camino por recorrer antes de que se homogenizara en la potente variante cripto-ransomware que vemos hoy.
Alrededor de este tiempo, se hizo común que el ransomware se hiciera pasar por la policía para extraer rescates. Acusarían a la víctima de estar involucrada en un delito, desde una mera infracción de derechos de autor hasta pornografía ilícita, y afirmarán que su computadora está bajo investigación y que ha sido cerrada.
Entonces, le daría a la víctima una opción. La víctima podría elegir pagar una "multa". Esto eliminaría los cargos (inexistentes) y devolvería el acceso a la computadora. Si la víctima se retrasó, la multa se duplicaría. Si la víctima se negó a pagar por completo, el ransomware los amenazaría con arrestos, juicios y posibles encarcelamientos.
La variante más reconocida del ransomware policial fue Reveton. Lo que hizo que Reveton fuera tan efectivo fue que utilizó la localización para parecer más legítima. Resultaría dónde se basó el usuario y luego se hará pasar por la autoridad local competente.
Entonces, si la víctima tenía su base en los Estados Unidos, la nota de rescate parecería ser del Departamento de Justicia. Si el usuario era italiano, adoptaría el estilo de la Guardia di Finanza. Los usuarios británicos verían un mensaje de la Policía Metropolitana de Londres o de la Policía de Strathclyde.
Los creadores de Reveton cubrieron todas sus bases. Se localizó para prácticamente todos los países europeos, así como para Australia, Canadá, Nueva Zelanda y los Estados Unidos. Pero tenía un defecto. Como no encripta los archivos del usuario, podría eliminarse sin ningún efecto adverso. Esto podría lograrse con un antivirus live-CD, o mediante el arranque en modo seguro.
CryptoLocker: El primer Big Crypto-Ransomware
Crypto-ransomware no tiene ese defecto. Utiliza un cifrado casi irrompible para enterrar los archivos del usuario. Incluso si se eliminó el malware, los archivos permanecen bloqueados. Esto ejerce una inmensa presión sobre la víctima para que pague.
CryptoLocker fue el primer crypto-ransomware ampliamente reconocible CryptoLocker es el software malicioso más desagradable de la historia. Lo que puede hacer CryptoLocker es el software malicioso más desagradable de la historia CryptoLocker es un tipo de software malicioso que inutiliza su computadora encriptando todo de tus archivos Luego exige un pago monetario antes de que se devuelva el acceso a su computadora. Lea más, y apareció a finales de 2013. Es difícil estimar la escala de usuarios infectados con algún grado de precisión. ZDNet, una revista de tecnología muy respetada, rastreó cuatro direcciones de bitcoin utilizadas por el malware y descubrió que recibieron unos $ 27 millones en pagos.
Se distribuyó a través de archivos adjuntos de correo electrónico infectados, que se propagaron a través de grandes redes de spam, así como a través de la red zombi Gameover ZeuS. Una vez que había comprometido un sistema, encriptaba sistemáticamente los documentos y los archivos de medios con una fuerte criptografía de clave pública RSA.
La víctima tendría poco tiempo para pagar un rescate de $ 400 USD o 400 euros, ya sea a través de Bitcoin, o mediante GreenDot MoneyPak, un sistema de cupones de prepago preferido por los ciberdelincuentes. Si la víctima no pagó dentro de las 72 horas, los operadores amenazaron con eliminar la clave privada, lo que imposibilitó el descifrado.
En junio de 2014, los servidores de distribución CryptoLocker fueron eliminados de una coalición de académicos, proveedores de seguridad y agencias de aplicación de la ley en la Operación Tovar. Dos proveedores, FireEye y Fox-IT, pudieron acceder a una base de datos de claves privadas utilizadas por CryptoLocker. Luego lanzaron un servicio que permitió a las víctimas descifrar sus archivos de forma gratuita. CryptoLocker Is Dead: ¡Aquí le mostramos cómo puede recuperar sus archivos! CryptoLocker Is Dead: ¡Aquí le mostramos cómo puede recuperar sus archivos! Lee mas
Aunque CryptoLocker duró poco, definitivamente demostró que el modelo cripto-ransomware podía ser lucrativo, y resultó en una carrera armamentística casi digital. Mientras que los vendedores de seguridad preparaban la mitigación, los delincuentes lanzaban variantes de ransomware cada vez más sofisticadas.
TorrentLocker y CryptoWall: Ransomware se vuelve más inteligente
Una de estas variantes mejoradas de ransomware fue TorrentLocker, que surgió poco después de la caída de CryptoLocker.
Esta es una forma bastante peatonal de crypto-ransomware. Como la mayoría de las formas de crypto-ransomware, su vector de ataque son archivos adjuntos de correo electrónico maliciosos, especialmente documentos de Word con macros maliciosas. Cómo protegerse del malware de Microsoft Word Cómo protegerse del malware de Microsoft Word. ¿Sabía que su computadora puede ser infectada por Microsoft malicioso? ¿Documentos de Office, o que podría ser engañado para habilitar la configuración que necesitan para infectar su computadora? Lee mas . Una vez que una máquina está infectada, encriptará la variedad habitual de archivos multimedia y de oficina mediante el cifrado AES.
La mayor diferencia fue en las notas de rescate que se muestran. TorrentLocker mostraría el rescate requerido en la moneda local de la víctima. Por lo tanto, si la máquina infectada tiene su base en Australia, TorrentLocker mostrará el precio en dólares australianos. TorrentLocker es un nuevo Ransomware. Y es malvado TorrentLocker es un nuevo Ransomware Down Under. Y es malvado Lea más, pagadero en BitCoin. Incluso enumeraría los intercambios locales de BitCoin.
Incluso ha habido innovaciones en el proceso de infección y ofuscación. Tome CryptoWall 4.0, por ejemplo, la última versión de la temida familia de crypto-ransomware.
Esto ha cambiado la forma en que infecta los sistemas y ahora cambia el nombre de todos los archivos infectados, impidiendo así que el usuario determine qué se ha cifrado y dificultando la restauración desde una copia de seguridad.
Ransomware ahora apunta a plataformas de nicho
De forma abrumadora, ransomware se dirige a computadoras con Windows y, en menor medida, a teléfonos inteligentes con Android. La razón por la cual se puede atribuir principalmente a la cuota de mercado. Mucha más gente usa Windows que Linux. Esto hace que Windows sea un objetivo más atractivo para los desarrolladores de malware.
Pero en el último año, esta tendencia ha empezado a revertirse, aunque lentamente, y estamos empezando a ver que crypto-ransomware está dirigido a usuarios de Mac y Linux.
Linux.Encoder.1 fue descubierto en noviembre de 2015 por Dr.Web, una importante firma rusa de ciberseguridad. Se ejecuta de forma remota mediante una falla en el CMS de Magento y cifrará varios tipos de archivos (archivos de oficina y de medios, así como también tipos de archivos asociados con aplicaciones web) utilizando la criptografía de clave pública AES y RSA. Para descifrar los archivos, la víctima tendrá que pagar un rescate de un bitcoin.
A principios de este año, vimos la llegada del ransomware KeRanger, dirigido a usuarios de Mac. ¿Qué amenazas de seguridad enfrentan los usuarios de Mac en 2016? ¿Qué amenazas de seguridad enfrentan los usuarios de Mac en 2016? Merecido o no, Mac OS X tiene la reputación de ser más seguro que Windows. ¿Pero esa reputación todavía se merece? ¿Qué amenazas de seguridad existen para la plataforma Apple y cómo están afectando a los usuarios? Lee mas . Este tenía un vector de ataque inusual, ya que ingresaba a los sistemas infiltrándose en las actualizaciones de software de Transmission, un popular y legítimo cliente de BitTorrent.
Si bien la amenaza del ransomware para estas plataformas es pequeña, está creciendo innegablemente y no se puede ignorar.
El futuro del ransomware: la destrucción como servicio
Entonces, ¿cómo se ve el futuro del ransomware? Si tuviera que ponerlo en palabras: marcas y franquicias.
Primero, hablemos de franquicias. Una tendencia interesante ha surgido en los últimos años, en el respeto que el desarrollo del ransomware se ha convertido increíblemente comoditized. Hoy, si te infectas con el ransomware, es completamente plausible que la persona que lo distribuyó no sea la persona que lo creó.
Luego está la marca. Si bien muchas variedades de ransomware han ganado reconocimiento de nombre por el poder destructivo que poseen, algunos fabricantes pretenden hacer que sus productos sean lo más anónimos y genéricos posible.
El valor de un ransomware de etiqueta blanca es que puede renombrarse. A partir de una cepa de ransomware principal, pueden surgir cientos más. Quizás sea esta la razón por la que en el primer trimestre de 2015 McAfee Labs recopiló más de 725, 000 muestras de ransomware. Esto representa un aumento trimestral de casi 165%.
Parece extremadamente improbable que las fuerzas del orden y la industria de la seguridad puedan contener esta creciente ola.
¿Has sido golpeado por ransomware? ¿Pagó, perdió sus datos o logró superar el problema de alguna otra manera (quizás una copia de seguridad)? Cuéntanos sobre esto en los comentarios!
Créditos de las imágenes: privacidad y seguridad en Nicescene a través de Shutterstock