La historia del ransomware: Historia, tipos de ransomware

La historia del ransomware: Historia, tipos de ransomware y futuros impactos

Publicado el: 25 de enero de 2022|Categorías: Artículos|Etiquetas: CrypJoker, crypto ransomware, CryptoLocker, historia del ransomware, locker ransomware, Ransomware, Troj_Cryzip, Veeam|

Una breve historia del ransomware

Los ataques buscando acceso a los datos u otros sistemas valiosos no son algo nuevo. Sin embargo, lo que sí es nuevo,es que los datos sean retenidos para su rescate.

La primera iteración registrada de virus ransomware fue creada por un estudiante de Harvard llamado Joseph L. Popp en el año 1989. Bautizado como AIDS Trojan, unos 20,000 discos infectados fueron distribuidos a los asistentes de la Conferencia Internacional sobre SIDA de la Organización Mundial de la Salud. El arma principal del Trojan fue criptografía simétrica; sin embargo, a las herramientas de cifrado no les tomó mucho tiempo para recuperar los nombres de los archivos, pero esta acción puso en marcha casi más de tres décadas de ataques de ransomware.

Avance rápido en los últimos 10 o 12 años. Entre 2005 y 2006, comenzamos a ver ataques de ransomware hacia puntos de datos dentro de otros países. Estos fueron creados por organizaciones criminales de Rusia, y alcanzaron a muchas víctimas dentro de ese país, al igual que en naciones vecinas como Bielorrusia, Ucrania y Kazajstán.

En 2006 (antes de que el término ransomware fuera usado) se descubrió una de sus variantes, llamada Troj_Cryzip A. En su mayor parte, esta variante afectó a las máquinas que utilizaban Windows 98, ME, NT, 2000, XP y Server 2003. Una vez descargada y ejecutada, identificar a los archivos con un cierto tipo de archivo, moviéndolos a una carpeta ZIP protegida con contraseña, habiendo eliminado a los originales. Para que la víctima recupere sus archivos, debía transferir cierto pago a una cuenta E-Gold (precursor del moderno Bitcoin, una pauta para la historia del ransomware).

En 2012, Trend Micro descubrió un nuevo tipo de variante de ransomware: TROJ_RANSOM.AQB. Incrementando el peligro y siendo más sofisticado, su método de infección fue reemplazar el registro de arranque principal (MBR) de Windows con un malicioso código único. Cuando la computadora arrancaba, el usuario vería un mensaje de rescate escrito en Ruso, demandando el pago. Tras pagar, las víctimas obtendrían un código que les permitiría restaurar sus computadoras a la normalidad.

Ahora, existen más formas de obtener rescates de la víctima o de la organización a la que ésta pertenece. Los atacantes pueden usar Vouchers, BitCoins, Paysafecard, MoneyPak, UKash, CashU y MoneXy para demandar el pago. Todo esto hace que sea más fácil recolectar el pago, y más fácil para que la víctima pueda realizarlo; sin embargo, al igual que con cualquier otro crimen monetario, mientras más víctimas paguen, más ataques seguiremos viendo. Por lo tanto, sin importar lo que usted decida hacer, evite pagar el rescate si puede.

Hacia finales del año 2000 y hacia el comienzo de la década del 2010, el ransomware creció siendo aún más sofisticado, y comenzó a considerarse como una amenaza real para la seguridad internacional.

Tipos de ataque de ransomware

Existen dos tipos básicos de ransomware en circulación. El tipo más común en la actualidad es el crypto ransomware, que intenta cifrar archivos y datos personales. El otro, conocido como locker ransomware, está diseñado para bloquear el equipo, lo que impide que las víctimas lo puedan utilizar claves, esto son el principio de la historia del ransomware.

Locker ransomware (bloqueador de equipo): Impide el acceso al equipo o dispositivo

Este tipo de ransomware podría hacerse pasar por un organismo de seguridad para obtener rescates. Este acusaría a la víctima de estar involucrada en un crimen (desde una simple infracción de derechos de autor, hasta pornografía ilícita), decir que su computadora está bajo investigación y que se encuentra bloqueada. Por ejemplo, Reveton reclama de manera fraudulenta ser parte de una autoridad legítima para la aplicación de la ley y prevenir a los usuarios de acceder a sus máquinas infectadas, demandando una “multa” que debe ser pagada para restaurar su acceso normal.

Aunque este tipo de ransomware puede ser más fácilmente removido a través de métodos de seguridad comunes, podría tener una mayor longitud para disfrazarse como legítimo y obtener el pago.

Locker ransomware

Crypto ransomware (bloqueador de datos): Impide el acceso a archivos o datos

Crypto ransomware no utiliza necesariamente el cifrado para impedir que los usuarios accedan a sus datos, pero la gran mayoría sí lo hace.

CryptoLocker

Este fue el primer gran crypto-ransomware que afectó a la industria. Utiliza cifrados prácticamente inquebrantables para bloquear los archivos, las carpetas y los repositorios de datos de los usuarios.

Aquí esta la parte tenebrosa: aunque el malware sea removido, los datos y archivos permanecen cifrados y bloqueados. Los cryptolocker dependen de técnicas sociales de ingeniería en su ejecución para engañar a posibles objetivos. Más específicamente, las víctimas reciben un correo electrónico con un archivo ZIP protegido con clave pretendiendo ser una compañía logística. Por ejemplo, tan pronto como las víctimas lo ejecutan, el Trojan se dirige hacia la memoria residente en la computadora.

El Trojan se pone en funcionamiento cuando el usuario abre el archivo ZIP anexo, colocando la clave que va incluida en el mensaje, e intenta abrir el PDF que contiene. Los cryptolocker toman ventaja del comportamiento predeterminado de Windows de esconder la extensión en los nombres de los archivos, para disfrazar la extensión .EXE real del archivo malicioso.

En definitiva, esto crea una inmensa presión sobre la víctima para que realice el pago. De hecho, los investigadores de seguridad han descubierto que un grupo de criminales cibernéticos o alguien que trabaja de forma individual en la operación ampliando el ransomware ha ganado cerca de $120 millones (189,813 Bitcoins) en solo 6 meses. Dicho grupo aún mantiene $94 millones en carteras de Bitcoin, y el resto probablemente ha sido gastado acumulando botnets, servidores, otras herramientas cibernéticas y en gastos personales.

CrypJoker

En enero de 2016 se descubrió una nueva forma de ransomware llamada CrypJoker. Este utiliza el algoritmo AES-256 para cifrar los archivos de las víctimas y luego demandar un rescate por su liberación. CrypJoker afecta computadoras con sistemas operativos de Microsoft Windows.

Aunque CrypJoker no está ampliamente distribuido en este momento, los expertos de seguridad han comenzado a advertir a las personas sobre su presencia. Además de usar un fuerte método de cifrado, afecta a 30 tipos diferentes de archivos y elimina cualquiera de sus copias de sombra.

El ataque de CrypJoker usualmente comienza con el envío de un correo electrónico que trata de llegar a los destinatarios para que abran el instalador de CrypJoker disfrazado como archivo de PDF. Si el destinatario del correo electrónico abre ese archivo, el instalador se descarga o genera que los ejecutables necesarios lleven a cabo el ataque. Luego, CrypJoker escanea el driver de la computadora, buscando 30 tipos diferentes de archivos, incluyendo PDF, Text, Microsoft Word y Excel, así como archivos de imágenes (JPG o PNG por ejemplo). Después de cifrar esos archivos, anexa “.crjoker” a su extensión de archivo. Por ejemplo, un archivo llamado “BusinessForecasts.docx” se convertiría en “BusinessForecasts.docx.crjoker”.

Recuerde, este tipo de ataques de ransomware también pueden llevar a cabo otros actos maliciosos; todos con la finalidad de hacer que la víctima realice un pago. Por ejemplo, elimina cualquier copia de sombra hecha por el Servicio de Volumen de Copia de Sombra Windows para que así los archivos de las víctimas no puedan ser recuperados. O terminará varios procesos para que así las víctimas no puedan ejecutar el Administrador de tareas de Windows o el editor de registro.

Como resultado, las víctimas tienen solo dos opciones para rescatar sus archivos: recuperarlos de un backup o ceder ante las demandas de los atacantes. Aún si las víctimas pagan el rescate, no hay garantía de que los atacantes les proporcionen la clave de descifrado y el decodificador necesarios para descifrar los archivos.

Pero eso no es todo, hay otras variantes. Onion, por ejemplo utiliza la red Tor para evitar su detección. Otros, como KeRanger, apuntan específicamente a los usuarios de Mac y sus archivos. Detectado en marzo del 2016, se cree que es el primer ransomware completamente funcional visto en la plataforma de OS X, ten por seguro que no será el fin de la historia del ransomware.

CrypJoker

El futuro del ransomware

Los investigadores de seguridad de McAfee Labs notaron en su reporte trimestral que los ataques de ransomware han crecido cerca de 128% año tras año. Adicionalmente, los investigadores han observado que los ataques ransomware teniendo como objetivo hospitales también han crecido recientemente. Tal es la propensión y la rentabilidad del ransomware que los desarrolladores incluso han llegado a mostrar las funciones y habilidades de los códigos en foros subterráneos.

Usted verá inclusive más ataques ransomware en el futuro cercano. Las partes oscuras de la web nos están mostrando que el ransomware es una herramienta de venta que ahora podemos etiquetar y hasta rebautizarla por un posible atacante. Básicamente, una entidad maliciosa puede comprar ransomware, personalizarlo ligeramente, hacerlo suyo e ir por un objetivo.

Ciertamente existe una creciente oleada de ataques de ransomware; es fundamental estar preparado para ello y proteger sus datos.