El ransomware cumple 30 años: ¿Qué hemos aprendido?

Corría diciembre de 1989 y unos 20 mil disquetes fueron enviados desde Londres a diferentes destinos dentro y fuera de esa ciudad. Con un sticker inofensivo que decía »Disquete de Información Introductoria sobre el Sida», participantes de un congreso de salud en Estocolmo e investigadores de todo el mundo se enfrentaron al primer ransomware en la historia de la Ciberseguridad.

Primero ¿Qué es un ransomware? ¿Cómo ataca?

El ransomware es un tipo de malware (virus informático con la capacidad de infectar un sistema), el cual, »para lograr su objetivo principal, debe cumplir con dos características esenciales: Por un lado debe ser capaz de infectar a los teléfonos o computadores víctimas del ataque, es decir, debe ser capaz de encontrar una manera de entrar en el dispositivo y ejecutarse; y por otro lado debe lograr cifrar todos los archivos que quiere secuestrar para que puedan ser utilizados como rehenes y lograr finalmente el pago por parte de los afectados», aclara Ignacio Espinosa, Investigador de Seguridad de NIVEL4.

Conoce más sobre el ransomware y sus métodos de propagación

Sabiendo lo anterior, entonces ¿En qué consistía el ransomware de la década del 80?: Bueno, cumplía con lo esencial, ya que cifraba el disco duro de los ordenadores y pedía un rescate. Era un ransomware bastante sencillo pero que tuvo un alcance a gran escala ¡Se entregó a más de 90 países vía correo postal!

vía Flickr – Imagen de archivo

El troyano del SIDA

Así es como se le conoce al primer ransomware ¿Modo de operación? Los disquetes venían de una empresa llamada PC Cyborg Corporation, que en realidad no era más que una empresa ficticia »ubicada» en Panamá creada por el Dr. Joseph Popp.

¿Qué pasaba si insertabas el disquete? Primero se abría un cuestionario sobre los riesgos de contraer el VIH, al día siguiente el computador se bloqueaba; luego aparecía una pantalla donde se solicitaban 189 dólares que se debían enviar a Panamá para recuperar la información.

El malware podía ocultar directorios de archivos y nombres de archivos bloqueados. Pero… en menos de dos semanas del ataque, la actividad del Dr. Popp llamó la atención de la policía cuando estaba en el aeropuerto de Schiphol, Amsterdam.

Poco después, detuvieron al ‘creador’ del ransomware en la casa de sus padres en Ohio y lo extraditaron a Gran Bretaña.

Allí, Joseph Popp enfrentó diez cargos de chantaje y daños criminales. El ransomware permaneció fuera del foco de atención hasta 1996, cuando dos criptógrafos Adam L. Young y Moti M. Yung hicieron una advertencia.

El dúo de investigadores creía firmemente que el día en que el ransomware comenzara a aprovechar la criptografía asimétrica, obtendría más poderes. Pero dos décadas después el ransomware resultó ser aún más peligroso de que pensaban de los investigadores.

En 2006, una variedad de ransomware llamada Archiveus realizó ataques avanzados en computadores de todo el mundo. ¿En qué consistía? Cifró todos los archivos en la carpeta «Mis documentos». ¿Qué pedían los atacantes? Se pidió a las víctimas que realizaran compras en sitios web específicos para obtener la contraseña de descifrado.

Regodeados con el éxito del ransomware, los atacantes realizaron múltiples ataques bajo varios nombres, incluidos GPcode, Cryzip, Krotten y otros.

Como predijo el dúo de investigadores, el ransomware creció para aprovechar el poder del cifrado Rivest-Shamir-Adleman (RSA), que era difícil de descifrar en ese momento.

En 2012, Fabian Wosar, apodado como el »héroe antiransomware», se encontró cara a cara con el ransomware mientras ayudaba a las víctimas del virus ACCDFISA a recuperar archivos cifrados. Pronto, se obsesionó con el ransomware y comenzó a trabajar en herramientas de descifrado para ayudar a las víctimas a liberar sus datos.

Unos años más tarde, Michael Gillespie se unió a él. Su primer encuentro fue con TeslaCrypt. Al igual que Wosar, también desarrolló un gran interés en aprender todo sobre este tipo de malware. Años después, se convirtió en uno de los creadores de desencriptadores de ransomware más prolíficos del mundo y también recibió el reconocimiento del FBI por sus esfuerzos y su contribución.

El estado actual

La epidemia de ransomware continuó aterrorizando a las personas en todo el mundo. Ya se trate de escuelas, universidades, hospitales, empresas, agencias gubernamentales y ciudadanos comunes.

En 2016, los actores de amenazas detrás del ransomware SamSam robaron $6 millones de dólares a víctimas desprevenidas en todo el mundo. Un año después, NotPetya se extendió por todo el mundo, lo que causó más de $10 mil millones en daños totales, según la Casa Blanca. En 2017, WannaCry infectó más de 230.000 computadores en 150 países de todo el mundo.

En 2019, los ataques de ransomware se han convertido en una fuente de ingresos para los ciberdelincuentes. Los principales ransomware registrados este año son Bad Rabbit, Dharma, Grand Crab, Jigsaw, Ruk, Rapid, Toldesh, entre otros, los cuales se dirigen principalmente a empresas, instituciones y agencias gubernamentales.

Ataques importantes del último tiempo

Acá te comentamos algunos ataques importantes del último tiempo…. solo incluimos unos pocos ya que la lista es extensa.

Reyptson

Un investigador de seguridad descubrió un ransomware llamadlo Reyptson, en julio de 2017. Reyptson utilizaba un método de intrusión simple: Una vez que infectaba con éxito el equipo, verificaba si el cliente de correo electrónico Mozilla Thunderbird estaba instalado en la computadora. Si así era, el ransomware leía las credenciales de correo electrónico y la lista de contactos de la víctima.

El propósito de los ataques de ransomware que se han producido recientemente no se centra en comprometer la privacidad de la víctima. En cambio, recopila todas las listas de contactos para lanzar una campaña de distribución de spam desde la cuenta de la víctima. Los mensajes de spam contienen una factura falsa (puede ser un pdf) que contiene programas ejecutables para cargar el ransomware.

Leakerlocker

Fue en julio de 2017 cuando lo encontraron escondido en dos aplicaciones de Android. Las aplicaciones son Booster & Cleaner Pro y Wallpaper Blur HD. Se convirtió en un buen objetivo porque las aplicaciones tenían miles de descargas alrededor del mundo.

Estos ataques de ransomware no se enfocaban específicamente en la encriptación de archivos ¿Entonces? Bloqueaba la pantalla de inicio y accedía a las direcciones de correo electrónico, listas de contactos, historial de Chrome, mensajes de texto y llamadas, imágenes e información del dispositivo. El ransomware mostraba la información vital en la web y las demandas de pago si la víctima no quiere que sus datos se compartan con el público.

Wysiwye

En abril del mismo año, otro investigador de seguridad detectó un nuevo tipo de ransomware. En específico apuntaba a una computadora a través de un Protocolo de escritorio remoto (RDP). El modo de intrusión implica escanear la web en busca de cualquier servidor RDP abierto. Si el ransomware encontraba uno, los ciberdelincuentes utilizaban una herramienta especial para probar ciertas combinaciones de contraseñas para robar las credenciales de RDP. Con este ataque se puede propagar la infección en toda la red.

Osiris

En diciembre de 2016, un departamento de policía en los EE.UU descubrió un virus informático que afectó sus computadoras. Estos ataques de ransomware que ocurrieron recientemente se propagaron a través de correos electrónicos no deseados. Se sospecha que este ransomware es una variante del ransomware Locky. Osiris cifró documentos de Microsoft Office, videos de automóviles, videos de vigilancia y algunas fotos. El departamento de policía tenía un respaldo pudiendo restaurar todo.

Locky

Locky ransomware es una de las variantes que más se multiplica entre las familias de ransomware. Desde febrero de 2016, la infección crece hasta 2017, cuando envió 23 millones de mensajes de spam en solo 24 horas.

NotPetya

NotPetya se descubrió por primera vez el 27 de junio de 2017 cuando los distribuidores de energía en Ucrania y Holanda afirmaron que ataques de ransomware afectaron sus sistemas. Posteriormente, empresas en España y Gran Bretaña también informaron sobre ataques de ransomware. Estos ataques encriptan el Registro de arranque maestro. También explotó vulnerabilidades de Microsoft.

Para que vamos a hablar de Wannacry y tantos otros ataques de ransomware ocurridos a distintas empresas. Lo fundamental es tomar conciencia sobre los riesgos y entender que un ataque de ransomware puede dejar inoperativa las operaciones de cualquier tipo de entidad, poniendo en jaque la reputación de la empresa y su relación con sus clientes.

Al parecer las técnicas no han cambiado tanto desde el primer ataque de ransomware, aún así, personas alrededor de todo el mundo siguen siendo víctimas de estos ataques ¿Qué hemos aprendido?