ransomware
Si estás al tanto de las novedades en la seguridad de la información, probablemente hayas escuchado mucho sobre el ransomware en los últimos años. Incluso puedes haber sufrido la desgracia de experimentar un ataque en primera persona. Seguramente no exageremos cuando catalogamos al ransomware como el malware más peligroso de nuestra era.
Pero ¿sabías que estos programas maliciosos existen desde hace más de 30 años y que los investigadores predijeron muchas características de los ataques actuales a mediados de la década de los 90? ¿Quieres saber por qué los cifradores reemplazaron a los bloqueadores, cuál fue el mayor rescate de la historia y qué tiene que ver el sida con todo esto?
Entonces, sigue leyendo, ya que hemos compilado un historial sobre el ransomware con las respuestas a estas y muchas otras preguntas. Juntos, rastreemos el desarrollo de los bloqueadores, cifradores, wipers y otros ransomware desagradables de las últimas décadas.
El diccionario del ransomware
Los siguientes términos aparecerán con frecuencia en el texto.
Criptografía: La ciencia de evitar que personas externas lean información confidencial. El cifrado es un aspecto de la criptografía.
Cifrado simétrico: Método de cifrado de datos en el que se utiliza una clave para cifrar y descifrar la información.
Cifrado asimétrico: Método de cifrado de datos que implica el uso de dos claves: una pública para cifrar la información y otra privada para descifrarla. Conocer la clave pública no ayuda con el descifrado; que requiere la clave privada.
RSA: Un algoritmo de cifrado asimétrico de uso común.
Ransomware: Cualquier programa malicioso que obliga a la víctima a pagar un rescate al atacante. Dentro de la categoría de ransomware se incluyen bloqueadores, cifradores y wipers disfrazados de cifradores.
Bloqueador: Un tipo de ransomware que bloquea o simula el bloqueo de un ordenador o dispositivo móvil. Este tipo de malware suele mostrar un mensaje persistente con una demanda de pago al abrir cualquier ventana.
Malware cifrador: Un tipo de ransomware que cifra los archivos del usuario para que no se puedan utilizar.
Wipers (que podríamos traducir al español como limpiador): Un tipo de software malicioso diseñado para limpiar (eliminar) datos del dispositivo de la víctima. A veces, el ransomware que simula ser un cifrador resulta ser un limpiador que daña los archivos de forma irreparable; por lo que, aunque se pagara el rescate, seguiría siendo imposible recuperar los datos.
RaaS (Ransomware como servicio por sus siglas en inglés): Una estrategia delictiva mediante la cual los creadores alquilan su ransomware a cualquiera que quiera distribuirlo por una parte de las ganancias. Es una especie de franquicia de ciberdelincuentes.
1989: El primer ataque de ransomware
El Dr. Joseph L. Popp, un investigador biológico, creó el primer cifrador conocido. Popp aprovechó el interés generalizado por el sida; de ahí que su malware se conociera como el troyano AIDS (sida en inglés).
En aquellos días, Internet todavía estaba dando sus primeros pasos, por lo que Popp utilizó un método de entrega muy original (según los estándares modernos). Tras obtener las direcciones de los asistentes a la conferencia de la OMS sobre el sida y de los suscriptores a la revista PC Business World, envió a las víctimas un disquete con una etiqueta que decía “Disquete introductorio de información sobre el sida” junto con unas instrucciones detalladas para la instalación del programa. El acuerdo de licencia afirmaba que, al instalar el programa, el usuario accedía a pagarle a la empresa 378 dólares. Pero ¿quién se toma en serio este tipo de cosas?
Pero lo cierto es que el instalador servía para enviar el malware al disco duro. Después de un cierto número de arranques del sistema, el troyano AIDS se activaba y cifraba los nombres de los archivos (incluidas las extensiones) en la unidad C del ordenador infectado. Los nombres se convertían en un revoltijo de caracteres aleatorios, lo que hacía imposible trabajar con normalidad con los archivos. Por ejemplo, para abrir o ejecutar un archivo, primero era necesario determinar qué extensión debería tener y cambiarlo manualmente.
A su vez, el malware mostraba un mensaje en la pantalla que afirmaba que la prueba del software había terminado y que el usuario debía pagar una tarifa de suscripción: 189 dólares por un año o 378 dólares por acceso de por vida. El dinero debía transferirse a una cuenta en Panamá.
El malware usaba cifrado simétrico, por lo que la clave para recuperar los archivos estaba contenida en el código. Por lo tanto, el problema era relativamente fácil de resolver: recuperar la clave, eliminar el malware y usar la clave para recuperar los nombres de los archivos. En enero de 1990, el asesor editorial de Virus Bulletin, Jim Bates, creó los programas AIDSOUT y CLEARAID para llevar a cabo precisamente esa función.
Joseph Popp fue arrestado, pero el tribunal lo encontró mentalmente incapacitado para ser juzgado. Sin embargo, publicó el libro Popular Evolution: Life-Lessons from Anthropology una década después.
1995-2004: Young, Yung y el ransomware del futuro
Seguramente como el troyano AIDS no logró enriquecer a su creador, la idea de cifrar datos con fines de rescate no generó mucho entusiasmo entre los estafadores de la época. Pero el interés resurgió en 1995 y entre la comunidad científica.
Los criptógrafos Adam L. Young y Moti Yung decidieron indagar cómo sería el virus informático más poderoso y se les ocurrió el concepto de ransomware que utiliza cifrado asimétrico.
En lugar de usar una clave para cifrar los archivos, que tendría que agregarse al código del programa, su modelo usó dos, una pública y otra privada, que mantenían la clave de descifrado en secreto. Además, Young y Yung plantearon la hipótesis de que la víctima tuviera que pagar con dinero electrónico, que aún no existía.
Los profetas de la ciberseguridad presentaron sus descubrimientos en la conferencia de seguridad y privacidad del IEEE (siglas en inglés del Instituto de Ingenieros Eléctricos y Electrónicos) en 1996, pero no fueron bien recibidos. Después, en el 2004 publicaron un nuevo estudio, Malicious Cryptography: Exposing Cryptovirology, en el que Young y Yung sistematizaron los resultados de su investigación.
2007-2010: Los años dorados de los bloqueadores
Mientras el malware cifrador esperaba su momento, el mundo vio la aparición de otro tipo de ransomware: los bloqueadores. Este tipo de malware bastante primitivo interfería con el funcionamiento normal del sistema operativo al agregarse a la rutina de inicio de Windows. Además, para frustrar su eliminación, muchas variedades bloqueaban el editor de registro y el administrador de tareas.
Este tipo de malware empleaba diversas estrategias para evitar que las víctimas pudieran utilizar sus ordenadores, desde una ventana que no se cerraba hasta el cambio del fondo de escritorio. Un método de pago consistía en enviar un mensaje de texto a un número premium.
La neutralización de los bloqueadores de ransomware generalmente no requería un programa antivirus, sino un poco de conocimiento por parte del usuario. Para eliminar el malware de forma manual, era necesario, por ejemplo, iniciar el sistema desde un Live CD o CD de rescate, iniciar en modo seguro o iniciar sesión en Windows con un perfil diferente.
Sin embargo, la facilidad para escribir tales troyanos compensa el riesgo relativamente bajo. Prácticamente cualquiera podría distribuirlos. Incluso había generadores automáticos.
A veces, el malware colocaba un banner pornográfico en el escritorio y alegaba que la víctima había visto contenido prohibido (una táctica que todavía se usa en la actualidad). Dado que la demanda de rescate era razonable, muchos preferían no buscar ayuda y simplemente pagar.
2010: El malware cifrador con cifrado asimétrico
En el 2011, los desarrolladores de malware cifrador intensificaron su juego considerablemente y, como predijeron Yung y Young, comenzaron a utilizar el cifrado asimétrico. Una modificación del cifrador GpCode, por ejemplo, se basó en el algoritmo RSA.
2013: El ransomware híbrido del CryptoLocker
A finales del 2013 apareció un ransomware híbrido que combinaba un bloqueador con un malware cifrador. El concepto aumentó las posibilidades de que los ciberdelincuentes recibieran un pago, porque incluso eliminar el malware y, por lo tanto, eliminar el bloqueo, no restablecía el acceso de las víctimas a sus archivos. Quizás el más notorio de estos híbridos es CryptoLocker. Este malware se distribuyó en correos electrónicos no deseados y los ciberdelincuentes que estaban detrás de él aceptaron el pago de rescate en Bitcoin.
2015: Los cifradores reemplazan a los bloqueadores
En el 2015, Kaspersky observó una cantidad creciente de intentos de infección con malware cifrador. La cantidad de ataques se multiplicó por 5,5. Los cifradores desplazaron a los bloqueadores.
Los cifradores prevalecieron por muchas razones. En primer lugar, los datos de los usuarios son muchísimo más valiosos que los archivos de sistema y las aplicaciones, que siempre pueden volver a instalarse. Con el cifrado, los ciberdelincuentes podrían exigir recompensas mucho más cuantiosas, además de tener más posibilidades de recibir el pago.
En segundo lugar, para el 2015, las criptomonedas ya se usaban ampliamente para transferencias monetarias anónimas, de forma que los atacantes ya no tenían miedo al rastreo. Gracias al bitcoin y demás criptomonedas, los ciberdelincuentes pudieron recibir grandes rescates sin activar el radar.
2016: El ransomware en masa
El ransomware siguió adquiriendo relevancia en el ámbito de la ciberseguridad y en el 2016 se encontraron once veces más modificaciones de ransomware, además de aumentar la media de los rescates de 0,5 a cientos de bitcoins (que valían una fracción del precio actual). El objetivo principal de los ataques cambió del usuario individual al sector corporativo, lo que dio lugar a que se hablara de la aparición de una nueva industria delictiva.
Los ciberdelincuentes ya no tenían que desarrollar malware por sí mismos; podían comprarlo directamente en la tienda. Por ejemplo, se puso a la venta una “licencia de por vida” del ransomware Stampado. Este malware amenazaba con borrar archivos de forma aleatoria después de cierto tiempo, para que, por miedo, las víctimas terminaran pagando el rescate.
El ransomware también estuvo disponible en el modelo RaaS (ransomware como servicio), un término que surgió con la aparición del cifrador RaaS. El modelo ayudó a que el ransomware se extendiera aún más.
El gobierno y las organizaciones municipales, además de las empresas y usuarios domésticos, se convirtieron en objetivos de los extorsionistas. HDDCryptor, que infectó a más de 2000 ordenadores de la Agencia de Transporte Ferroviario de San Francisco, es el mejor ejemplo. Los ciberdelincuentes exigieron 100 BTC (que entonces equivalían a 70.000 dólares) para restaurar los sistemas; sin embargo, el departamento informático de la agencia pudo resolver el problema por sí mismo.
2016–2017: Petya, NotPetya y WannaCry
En abril del 2016, un nuevo malware llamado Petya salió a la luz. Mientras que los cifradores anteriores dejaban los sistemas operativos intactos para permitir que las víctimas pagaran el rescate, Petya bloqueó por completo las máquinas infectadas; su objetivo era la MFT (Tabla Maestra de Archivos por sus siglas en inglés), una base de datos que almacena toda la estructura de los archivos y las carpetas del disco duro.
Aunque resultó ser muy destructivo, el mecanismo de penetración y distribución de Petya era muy burdo. Para activarlo, la víctima tenía que descargar y ejecutar de forma manual un archivo ejecutable, lo que hacía que la infección fuera menos probable. De hecho, no habría sido gran cosa de no ser por otro ransomware: el llamado WannaCry, haciendo honor a su nombre.
En mayo del 2017, WannaCry infectó a más de 500.000 dispositivos en todo el mundo y causó pérdidas por valor de 4 mil millones de dólares. ¿Cómo lo hizo? Incorporó el exploit EternalBlue, que se aprovechó de algunas vulnerabilidades muy peligrosas en Windows. El troyano se infiltró en las redes e instaló WannaCry en los ordenadores de las víctimas. Después, el malware se extendió a otros dispositivos en la red local. Dentro de los sistemas infectados, WannaCry se comportaba de forma normal: cifraba los archivos y exigía un rescate.
Poco menos de dos meses después del estallido de WannaCry, apareció otro cifrador, también modificado por EternalBlue: NotPetya, también conocido como ExPetr. NotPetya devoraba discos duros enteros.
Es más, NotPetya cifró la tabla de archivos de tal forma que descartaba el descifrado, incluso aunque se hubiese pagado el rescate. Como resultado, los expertos concluyeron que se trataba realmente de un wiper disfrazado de cifrador. El daño global de NotPetya sobrepasó los 10 mil millones de dólares.
El ataque de WannaCry resultó tan devastador que Microsoft lanzó un parche urgente para sistemas operativos a los que ya no daba soporte. Las actualizaciones para los sistemas con soporte habían estado disponibles mucho antes de ambas epidemias, pero no todos las habían instalado, lo que permitió que estos dos programas de ransomware ganaran presencia.
2017: Un millón por el descifrado
Además de los daños sin precedentes, en el 2017 se estableció otro récord por el rescate más grande conocido de una sola organización. El host web surcoreano Nayana acordó pagar 1 millón de dólares (negociado, la cantidad original era 4,5 veces más) por desbloquear los ordenadores infectados con el cifrador Erebus.
Lo que más sorprendió a la comunidad de expertos fue que la empresa hizo público el anuncio del pago. La mayoría de las víctimas prefieren no anunciar estas cosas.
2018–2019: Una amenaza para la sociedad
Los últimos años destacan por la presencia de ataques masivos con ransomware a los servicios e instalaciones comunitarias. El riesgo aumentó para el transporte, el agua, la energía y las instituciones sanitarias. Los ciberdelincuentes contaban con que estas también pagaran; incluso aunque las solicitudes de rescate eran muy elevadas, quedarse en la oscuridad significaría dejar miles de millones de personas a su suerte.
En el 2018, por ejemplo, un ataque con malware cifrador al aeropuerto de Bristol en el Reino Unido alteró las pantallas que muestran los vuelos durante dos días enteros. El personal tuvo que recurrir a pizarras y, como mérito para el aeropuerto, su respuesta al ataque fue rápida y eficaz. Hasta donde sabemos, no se cancelaron vuelos y no se pagaron rescates.
A Hancock Health, una clínica de los Estados Unidos, no le fue tan bien, ya que pagaron 4 BTC (en ese momento 55.000 dólares) después de recibir el ataque del ransomware SamSam. Para explicar la decisión de la empresa de pagar el rescate, el CEO Steve Long mencionó una tormenta de nieve que se avecinaba, junto con una de las peores temporadas de gripe que se hubiera visto. La clínica no tenía tiempo de restaurar sus ordenadores de forma independiente.
En total, más de 170 agencias municipales de los Estados Unidos fueron víctimas de ransomware en el 2019, donde las demandas de rescate eran de hasta 5 millones de dólares. Actualizar los sistemas operativos en estas organizaciones puede ser difícil, así que los ciberdelincuentes con frecuencia utilizan exploits viejos, que, en consecuencia, son más accesibles.
2020: Una escala en aumento y la amenaza de la filtración de datos
Además del aumento en las infecciones, así como las consecuencias y las cantidades por el rescate, el 2020 se recordará por un nuevo enfoque híbrido en el que el ransomware, antes de cifrar la información, la enviaba a los operadores de los ciberdelincuentes. A esto le siguieron las amenazas con filtrar la información a la competencia o publicarla. Si consideramos la hipersensibilidad de los datos personales hoy en día, esto podría ser fatal para las empresas. El grupo Maze fue el primero en dominar esta técnica en el 2019, pero en el 2020 se convirtió en una verdadera tendencia.
La cadena de cirugía estética Transform Hospital Group fue víctima de uno de los incidentes de más alto perfil del 2020. El grupo de ciberdelincuentes REvil cifró y robó 900 GB de datos de Transform, incluidas fotografías pre y pos operatorias de los pacientes, que los atacantes amenazaron con publicar.
Además, los operadores de malware cifrador adoptaron una gama de tácticas nuevas en el 2020. Por ejemplo, el grupo REvil comenzó a subastar información robada. Los ciberdelicuentes también se unieron en organizaciones estilo cártel. Primero fue el grupo Maze, que comenzó a publicar información robada mediante el cifrador LockBit. De acuerdo con los ciberdelincuentes, ahora trabajan de cerca con LockBit, quien presta su plataforma para filtración de datos, así como para compartir conocimiento.
También presumían de que otro grupo destacado pronto se uniría al cártel: RagnarLocker, un pionero en la organización de ataques DDoS a los recursos de las víctimas como palanca adicional para presionar a las compañías que extorsiona.
Conclusión
En el trascurso de tres décadas, el ransomware ha evolucionado de ser un juguete relativamente inofensivo a una amenaza seria a los usuarios de todas las plataformas, especialmente a las empresas. Para protegerte contra los ataques, asegúrate de seguir unas cuantas reglas de seguridad; y, si de alguna forma, un ataque resultara exitoso, es importante que busques ayuda de los expertos y no cedas ante la voluntad de los cibercriminales.
