Una historia de ransomware donde comenzó y hacia dónde se dirige
El ransomware es un tipo de malware que impide el acceso normal a un sistema o archivos, a menos que la víctima pague un rescate. La mayoría de las personas están familiarizadas con las variantes de crypto-ransomware, donde los archivos están encerrados en un cifrado irrecuperable, pero el paradigma es en realidad mucho más antiguo que eso..
De hecho, el ransomware se remonta a casi diez años. Al igual que muchas amenazas de seguridad informática, se originó en Rusia y países limítrofes. Desde su primer descubrimiento, Ransomware ha evolucionado hasta convertirse en una amenaza cada vez más potente, capaz de extraer rescates cada vez más grandes..
Ransomware temprano: de Rusia con odio
Los primeros especímenes de ransomware fueron descubiertos en Rusia entre 2005 y 2006. Estos fueron creados por criminales organizados rusos, y se dirigieron principalmente a las víctimas rusas, así como a los que viven en los países vecinos de habla rusa, como Bielorrusia, Ucrania y Kazajstán..
Una de estas variantes de ransomware fue llamada TROJ_CRYZIP.A. Esto fue descubierto en 2006, mucho antes de que el término fuera acuñado. Afectó en gran medida a las máquinas que ejecutan Windows 98, ME, NT, 2000, XP y Server 2003. Una vez descargado y ejecutado, identificará los archivos con un determinado tipo de archivo y los moverá a una carpeta ZIP protegida por contraseña, habiendo eliminado originales Para que la víctima recupere sus archivos, tendría que transferir $ 300 a una cuenta de E-Gold.
E-Gold puede ser descrito como un antecesor espiritual de BitCoin. Una moneda digital anónima basada en oro que era administrada por una compañía con sede en Florida, pero registrada en Saint Kitts y Nevis, ofrecía un relativo anonimato, pero rápidamente fue favorecida por criminales organizados como un método para lavar dinero sucio. Esto llevó al gobierno de los Estados Unidos a suspenderlo en 2009, y la empresa se retiró poco después..
Las últimas variantes de ransomware usarían criptomonedas anónimas como Bitcoin, tarjetas de débito prepagas e incluso números de teléfono de tarifa premium como método de pago.
TROJ_RANSOM.AQB es otra variante de ransomware identificada por Trend Micro en 2012. Su método de infección fue reemplazar el Master Boot Record (MBR) de Windows con su propio código malicioso. Cuando la computadora arrancara, el usuario vería un mensaje de rescate escrito en ruso, que exigía que la víctima pagara 920 hryvnia ucraniana a través de QIWI, un sistema de pagos de propiedad rusa con base en Chipre. Una vez pagado, la víctima obtendría un código que le permitiría restaurar su computadora a la normalidad..
Dado que muchos de los operadores de ransomware identificados se identificaron como de Rusia, se podría argumentar que la experiencia adquirida en la orientación al mercado nacional los ha hecho más capaces de dirigirse a los usuarios internacionales..
Detente policia!
Hacia fines de la década de 2000 y comienzos de la década de 2010, el ransomware fue cada vez más reconocido como una amenaza para los usuarios internacionales. Pero todavía quedaba un largo camino por recorrer antes de que se homogeneizara en la potente variante de criptografía por cifrado que vemos hoy.
Alrededor de este tiempo, se hizo común que el ransomware se hiciera pasar por la aplicación de la ley para extraer rescates. Acusarían a la víctima de estar involucrada en un delito, que va desde la mera infracción de los derechos de autor hasta la pornografía ilícita, y dirían que su computadora está bajo investigación y que ha sido bloqueada..
Entonces, le darían a la víctima una opción. La víctima podría optar por pagar una “multa”. Esto eliminaría los cargos (inexistentes) y devolvería el acceso a la computadora. Si la víctima se retrasara, la multa se duplicaría. Si la víctima se negara a pagar por completo, el ransomware los amenazaría con arresto, juicio y posible encarcelamiento.
La variante más reconocida del ransomware policial fue Reveton. Lo que hizo a Reveton tan efectivo fue que usó la localización para parecer más legítimo. Funcionaría en el lugar donde se basaba el usuario y luego personificaría a las autoridades locales pertinentes..
Entonces, si la víctima tenía su base en los Estados Unidos, la nota de rescate parecería ser del Departamento de Justicia. Si el usuario fuera italiano, adoptaría el estilo del Guardia di Finanza. Los usuarios británicos verían un mensaje de la Policía Metropolitana de Londres o la Policía de Strathclyde.
Los creadores de Reveton cubrieron todas sus bases. Fue localizado en prácticamente todos los países europeos, así como en Australia, Canadá, Nueva Zelanda y los Estados Unidos. Pero tenía un defecto. Como no cifró los archivos del usuario, podría eliminarse sin ningún efecto adverso. Esto se podría lograr con un antivirus en vivo o mediante un arranque en modo seguro.
CryptoLocker: El primer gran crypto-ransomware
Crypto-ransomware no tiene tal defecto. Utiliza un cifrado casi irrompible para sepultar los archivos del usuario. Incluso si el malware fue eliminado, los archivos permanecen bloqueados. Esto pone una inmensa presión sobre la víctima para que pague..
CryptoLocker fue el primer crypto-ransomware ampliamente reconocible. CryptoLocker es el malware más desagradable de la historia y esto es lo que puede hacer. CryptoLocker es el malware más desagradable de la vida y esto es lo que puede hacer. de tus archivos. Luego exige un pago monetario antes de que se devuelva el acceso a su computadora. Lea más y apareció a finales de 2013. Es difícil estimar la escala de usuarios infectados con algún grado de precisión. ZDNet, una revista de tecnología altamente respetada, rastreó cuatro direcciones de bitcoin utilizadas por el malware y descubrió que recibieron alrededor de $ 27 millones en pagos.
Se distribuyó a través de archivos adjuntos de correo electrónico infectados, que se propagaron a través de vastas redes de spam, así como a través de la botnet Gameover ZeuS. Una vez que hubiera comprometido un sistema, a continuación, cifraría sistemáticamente los documentos y archivos multimedia con una criptografía de clave pública RSA sólida.
La víctima tendría entonces un corto período de tiempo para pagar un rescate de $ 400 USD o € 400 EUR, ya sea a través de Bitcoin, oa través de GreenDot MoneyPak, un sistema de vales prepagos preferido por los ciberdelincuentes. Si la víctima no pagó dentro de las 72 horas, los operadores amenazaron con eliminar la clave privada, lo que hace imposible el descifrado..
En junio de 2014, los servidores de distribución CryptoLocker fueron eliminados por una coalición de académicos, proveedores de seguridad y agencias de cumplimiento de la ley en la Operación Tovar. Dos proveedores, FireEye y Fox-IT, pudieron acceder a una base de datos de claves privadas utilizadas por CryptoLocker. Luego lanzaron un servicio que permitía a las víctimas descifrar sus archivos de forma gratuita. CryptoLocker está muerto: aquí es cómo puede recuperar sus archivos. CryptoLocker está muerto: aquí es cómo puede recuperar sus archivos. Lee mas
Aunque CryptoLocker fue de corta duración, demostró definitivamente que el modelo crypto-ransomware podría ser lucrativo, y resultó en una carrera de armamentos casi digital. Mientras los proveedores de seguridad preparaban la mitigación, los delincuentes lanzaban variantes de ransomware cada vez más sofisticadas.
TorrentLocker y CryptoWall: Ransomware se vuelve más inteligente
Una de estas variantes mejoradas de ransomware fue TorrentLocker, que surgió poco después de la caída de CryptoLocker..
Esta es una forma bastante peatonal de crypto-ransomware. Como la mayoría de las formas de crypto-ransomware, su vector de ataque son archivos adjuntos de correo electrónico maliciosos, especialmente documentos de Word con macros maliciosas Cómo protegerse de Microsoft Word Malware Cómo protegerse de Microsoft Word Malware ¿Sabía que su computadora puede infectarse con Microsoft malintencionado? ¿Documentos de Office, o que podría ser engañado para habilitar la configuración que necesitan para infectar su computadora? Lee mas . Una vez que la máquina está infectada, cifrará la variedad habitual de archivos multimedia y de oficina utilizando el cifrado AES..
La mayor diferencia fue en las notas de rescate mostradas. TorrentLocker mostraría el rescate requerido en la moneda local de la víctima. Por lo tanto, si la máquina infectada tenía su base en Australia, TorrentLocker mostraría el precio en dólares australianos. TorrentLocker es un nuevo ransomware. Y es el mal. TorrentLocker es un nuevo ransomware abajo. Y es el mal. Leer más, a pagar en BitCoin. Incluso listaría los intercambios locales de BitCoin.
Incluso ha habido innovaciones en el proceso de infección y ofuscación. Tome CryptoWall 4.0, por ejemplo, la última cepa en la temida familia de crypto-ransomware.
Esto ha cambiado la forma en que infecta los sistemas, y ahora cambia el nombre de todos los archivos infectados, lo que evita que el usuario determine lo que se ha cifrado y dificulta la restauración desde una copia de seguridad.
Ransomware ahora se dirige a plataformas de nicho
De manera abrumadora, el ransomware se enfoca en las computadoras que ejecutan Windows y, en menor medida, en los teléfonos inteligentes que ejecutan Android. La razón por la cual puede atribuirse principalmente a la cuota de mercado. Muchas más personas usan Windows que Linux. Esto hace que Windows sea un objetivo más atractivo para los desarrolladores de malware..
Pero a lo largo del año pasado, esta tendencia comenzó a revertirse, aunque lentamente, y estamos empezando a ver que el crypto-ransomware está dirigido a usuarios de Mac y Linux..
Linux.Encoder.1 fue descubierto en noviembre de 2015 por Dr.Web, una importante empresa rusa de seguridad cibernética. Se ejecuta de forma remota por una falla en el CMS de Magento y cifrará una serie de tipos de archivos (archivos de oficina y multimedia, así como los tipos de archivos asociados con aplicaciones web) utilizando la criptografía de clave pública AES y RSA. Para descifrar los archivos, la víctima tendrá que pagar un rescate de un bitcoin.
A principios de este año, vimos la llegada del ransomware KeRanger, que estaba dirigido a los usuarios de Mac. ¿Qué amenazas de seguridad enfrentan los usuarios de Mac en 2016? ¿Qué amenazas de seguridad enfrentan los usuarios de Mac en 2016? Merecido o no, Mac OS X tiene la reputación de ser más seguro que Windows. Pero, ¿esa reputación todavía se merece? ¿Qué amenazas de seguridad existen para la plataforma Apple y cómo afectan a los usuarios? Lee mas . Esto tuvo un vector de ataque inusual, ya que ingresó a los sistemas al infiltrarse en las actualizaciones de software de Transmission, un popular y legítimo cliente de BitTorrent..
Si bien la amenaza del ransomware a estas plataformas es pequeña, sin duda está creciendo y no se puede ignorar..
El futuro del ransomware: la destrucción como servicio
Entonces, ¿qué aspecto tiene el futuro del ransomware? Si tuviera que ponerlo en palabras: marcas y franquicias..
Primero, hablemos de las franquicias. Una tendencia interesante ha surgido en los últimos años, en el sentido de que el desarrollo de ransomware se ha convertido en un producto increíblemente mercantilizado. Hoy en día, si se infecta con ransomware, es totalmente plausible que la persona que lo distribuyó, no sea la persona que lo creó..
Luego está la marca. Si bien muchas variedades de ransomware se han ganado el reconocimiento del nombre por el poder destructivo que poseen, algunos fabricantes pretenden que sus productos sean lo más anónimos y genéricos posible..
El valor de un ransomware de marca blanca es que puede ser rebautizado. De una cepa de ransomware principal, pueden surgir cientos más. Es quizás esta la razón por la que en el primer trimestre de 2015, McAfee Labs recolectó más de 725,000 muestras de ransomware. Esto representa un incremento trimestral de casi el 165%..
Parece extremadamente improbable que la policía y la industria de la seguridad puedan contener esta marea creciente..
¿Ha sido golpeado por ransomware? ¿Paga, pierde sus datos o se las arregla para superar el problema de alguna otra manera (quizás una copia de seguridad)? Cuéntanoslo en los comentarios.!
Créditos de imagen: privacidad y seguridad de Nicescene a través de Shutterstock
Explorar más sobre: Seguridad informática, Ransomware.