ransomware
Si estás al tanto de las novedades en la seguridad de la información, probablemente hayas escuchado mucho sobre el ransomware en los últimos años. Incluso es posible que hayas tenido la desgracia de experimentar un ataque en primera persona. Seguramente no exageremos cuando catalogamos al ransomware como el malware más peligroso de nuestra era.
Pero ¿sabías que estos programas maliciosos existen desde hace más de 30 años y que los investigadores predijeron muchas características de los ataques actuales a mediados de la década de los 90? ¿Quieres saber por qué los cifradores reemplazaron a los bloqueadores, cuál fue el mayor rescate de la historia y qué tiene que ver el SIDA con todo esto?
Entonces, sigue leyendo, ya que hemos compilado la historia del ransomware con las respuestas a éstas y muchas otras preguntas. Juntos, rastreemos el desarrollo de los bloqueadores, cifradores, limpiadores y otros ransomware desagradables de las últimas décadas.
El diccionario del ransomware
Los siguientes términos aparecen con frecuencia en el texto.
Criptografía: La ciencia de evitar que personas externas lean información confidencial. El cifrado es un aspecto de la criptografía.
Cifrado simétrico: Método de cifrado de datos en el que se utiliza una clave para cifrar y descifrar la información.
Cifrado asimétrico: Método de cifrado de datos que implica el uso de dos claves: una pública para cifrar la información y otra privada para descifrarla. Conocer la clave pública no ayuda con el descifrado, el cual requiere la clave privada.
RSA: Un algoritmo de cifrado asimétrico de uso común.
Ransomware: Cualquier programa malicioso que obliga a la víctima a pagar un rescate al atacante. Dentro de la categoría de ransomware se incluyen bloqueadores, cifradores y limpiadores disfrazados de cifradores.
Bloqueador: Un tipo de ransomware que bloquea o simula el bloqueo de una computadora o dispositivo móvil. Este tipo de malware suele mostrar un mensaje persistente con una demanda de pago al abrir cualquier ventana.
Malware cifrador: Un tipo de ransomware que cifra los archivos del usuario para que no se puedan utilizar.
Limpiador (wiper): Un tipo de software malicioso diseñado para limpiar (eliminar) datos del dispositivo de la víctima. A veces, el ransomware que simula ser un cifrador resulta ser un limpiador que daña los archivos de forma irreparable; por lo que, aunque se pagara el rescate, seguiría siendo imposible recuperar los datos.
RaaS (Ransomware como servicio): Una estrategia delictiva mediante la cual los creadores alquilan su ransomware a cualquiera que quiera distribuirlo por una parte de las ganancias. Es una especie de franquicia de cibercriminales.
1989: El primer ataque de ransomware
El Dr. Joseph L. Popp, un investigador biológico, creó el primer cifrador conocido. Popp aprovechó el interés generalizado por el SIDA; de ahí que su malware se conociera como el troyano AIDS (SIDA en inglés).
En aquellos días, Internet todavía estaba dando sus primeros pasos, por lo que Popp utilizó un método de entrega muy original (según los estándares modernos). Tras obtener las direcciones de los asistentes a la conferencia de la OMS sobre el SIDA y de los suscriptores a la revista PC Business World, envió a las víctimas un disquete con una etiqueta que decía “Disquete introductorio de información sobre el SIDA” junto con unas instrucciones detalladas para la instalación del programa. El acuerdo de licencia afirmaba que, al instalar el programa, el usuario accedía a pagarle a la empresa 378 dólares. Pero ¿quién se toma en serio este tipo de cosas?
Pero lo cierto es que el instalador servía para enviar el malware al disco duro. Después de un cierto número de arranques del sistema, el troyano AIDS se activaba y cifraba los nombres de los archivos (incluidas las extensiones) en la unidad C de la computadora infectada. Los nombres se convertían en un revoltijo de caracteres aleatorios, lo que hacía imposible trabajar con normalidad con los archivos. Por ejemplo, para abrir o ejecutar un archivo, primero era necesario determinar qué extensión debería tener y cambiarlo manualmente.
A su vez, el malware mostraba un mensaje en la pantalla que afirmaba que la prueba del software había terminado y que el usuario debía pagar una tarifa de suscripción: 189 dólares por un año o 378 dólares por acceso de por vida. El dinero debía transferirse a una cuenta en Panamá.
El malware usaba cifrado simétrico, por lo que la clave para recuperar los archivos estaba contenida en el código. Por lo tanto, el problema era relativamente fácil de resolver: recuperar la clave, eliminar el malware y usar la clave para recuperar los nombres de los archivos. En enero de 1990, el asesor editorial de Virus Bulletin, Jim Bates, creó los programas AIDSOUT y CLEARAID para llevar a cabo precisamente esa función.
Joseph Popp fue arrestado, pero el tribunal lo encontró mentalmente incapacitado para ser juzgado. Sin embargo, publicó el libro Popular Evolution: Life-Lessons from Anthropology una década después.
1995-2004: Young, Yung y el ransomware del futuro
Seguramente como el troyano AIDS no logró enriquecer a su creador, la idea de cifrar datos con fines de rescate no generó mucho entusiasmo entre los estafadores de la época. Pero el interés resurgió en 1995 y entre la comunidad científica.
Los criptógrafos Adam L. Young y Moti Yung decidieron indagar cómo sería el virus informático más poderoso y se les ocurrió el concepto de ransomware que utiliza cifrado asimétrico.
En lugar de usar una clave para cifrar los archivos, que tendría que agregarse al código del programa, su modelo usó dos, una pública y otra privada, que mantenían la clave de descifrado en secreto. Además, Young y Yung plantearon la hipótesis de que la víctima tuviera que pagar con dinero electrónico, que aún no existía.
Los profetas de la ciberseguridad presentaron sus descubrimientos en la conferencia de seguridad y privacidad del IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) en 1996, pero no fueron bien recibidos. Después, en el 2004 publicaron un nuevo estudio, Malicious Cryptography: Exposing Cryptovirology, en el que Young y Yung sistematizaron los resultados de su investigación.
2007-2010: Los años dorados de los bloqueadores
Mientras el malware cifrador esperaba su momento, el mundo vio la aparición de otro tipo de ransomware: los bloqueadores. Este tipo de malware bastante primitivo interfería con el funcionamiento normal del sistema operativo al agregarse a la rutina de arranque de Windows. Además, para frustrar su eliminación, muchas variedades bloqueaban el editor de registro y el administrador de tareas.
Este tipo de malware empleaba diversas estrategias para evitar que las víctimas pudieran utilizar sus computadoras: desde una ventana que no se cerraba hasta el cambio del fondo de pantalla del escritorio. Un método de pago consistía en enviar un mensaje de texto a un número premium.
La neutralización de los bloqueadores de ransomware generalmente no requería un programa antivirus, sino un poco de conocimiento por parte del usuario. Para eliminar el malware de forma manual, era necesario, por ejemplo, iniciar el sistema desde un Live CD o CD de rescate, iniciar en modo seguro o iniciar sesión en Windows con un perfil diferente.
Sin embargo, la facilidad para escribir tales troyanos compensa el riesgo relativamente bajo. Prácticamente cualquiera podría distribuirlos. Incluso había generadores automáticos.
A veces, el malware colocaba un banner pornográfico en el escritorio y alegaba que la víctima había visto contenido prohibido (una táctica que todavía se usa en la actualidad). Dado que la demanda de rescate era razonable, muchos preferían no buscar ayuda y simplemente pagar.
2010: El malware cifrador con cifrado asimétrico
En el 2011, los desarrolladores de malware cifrador intensificaron su juego considerablemente y, como predijeron Yung y Young, comenzaron a utilizar el cifrado asimétrico. Una modificación del cifrador GpCode, por ejemplo, se basó en el algoritmo RSA.
2013: El ransomware híbrido del CryptoLocker
A finales del 2013 apareció un ransomware híbrido que combinaba un bloqueador con un malware cifrador. El concepto aumentó las posibilidades de que los cibercriminales recibieran un pago, porque incluso eliminar el malware y, por lo tanto, eliminar el bloqueo, no restablecía el acceso de las víctimas a sus archivos. Quizás el más notorio de estos híbridos es CryptoLocker. Este malware se distribuyó en correos electrónicos no deseados y los cibercriminales que estaban detrás de él aceptaron el pago de rescate en Bitcoin.
2015: Los cifradores reemplazan a los bloqueadores
En 2015, Kaspersky observó una cantidad creciente de intentos de infección con malware cifrador. La cantidad de ataques se multiplicó por 5.5. Los cifradores desplazaron a los bloqueadores.
Los cifradores prevalecieron por muchas razones. En primer lugar, los datos de los usuarios son muchísimo más valiosos que los archivos de sistema y las aplicaciones, los cuales siempre pueden volver a instalarse. Con el cifrado, los cibercriminales podrían exigir recompensas mucho más grandes, además de tener mayor posibilidad de recibir el pago.
En segundo lugar, para 2015, las criptomonedas ya se usaban ampliamente para transferencias monetarias anónimas, de manera que los atacantes ya no tenían miedo de ser rastreados. Con las bitcoin y otras, fue posible recibir grandes sumas en recompensa sin activar ninguna alerta.
2016: Rasomware en masa
El ransomware siguió creciendo como una fuerza en el ámbito de la ciberseguridad, y en 2016 se observó once veces más modificaciones al ransomware. El rescate promedio iba de 0.5 a cientos de bitcoins (que en ese entonces valían una fracción del precio actual). El enfoque principal de los ataques cambió del usuario individual al sector corporativo, lo que, con justa razón, dio lugar a que se hablara de la aparición de una nueva industria criminal.
Los cibercriminales ya no tenían que desarrollar malware por sí mismos; podían comprarlo directamente en la tienda. Por ejemplo, se puso a la venta una “licencia de por vida” para el ransomware Stampado. El malware amenazaba con borrar archivos de manera aleatoria después de cierto tiempo, para que, por miedo, las víctimas terminaran pagando el rescate.
El ransomware también estuvo disponible en el modelo RaaS (ransomware como servicio), un término que surgió junto con el cifrador RaaS. El modelo ayudó a que el ransomware se extendiera aún más.
El gobierno y las organizaciones municipales, además de las empresas y usuarios domésticos, se convirtieron en objetivos de los extorsionistas. HDDCryptor, que infectó a más de 2,000 computadoras de la Agencia de Transporte Ferroviario de San Francisco, es el mejor ejemplo. Los cibercriminales exigieron 100 BTC (que entonces equivalían a 70,000 dólares) para restaurar los sistemas; sin embargo, el departamento de TI de la agencia pudo resolver el problema por sí mismo.
2016–2017: Petya, NotPetya y WannaCry
En abril de 2016, un nuevo malware llamado Petya salió a la luz. Mientras que cifradores anteriores habían dejado los sistemas operativos intactos para permitir que las víctimas pagaran el rescate, Petya bloqueó completamente las máquinas infectadas; su objetivo era la MFT (Tabla Maestra de Archivos) —una base de datos que almacena toda la estructura de los archivos y las carpetas del disco duro.
Si bien fue muy destructivo, el mecanismo de penetración y distribución de Petya era muy burdo. Para activarlo, la víctima tenía que descargar y ejecutar de forma manual un archivo ejecutable, lo que hacía que la infección fuera menos probable. De hecho, no habría sido gran cosa de no ser por otro ransomware: el llamado WannaCry, haciendo honor a su nombre.
En mayo de 2017, WannaCry infectó a más de 500,000 dispositivos en todo el mundo y causó un daño de 4 mil millones de dólares. ¿Cómo lo hizo? Incorporó el exploit EternalBlue, el cual se aprovechó de algunas vulnerabilidades muy peligrosas en Windows. El troyano se infiltró en las redes e instaló WannaCry en las computadoras de las víctimas. Después, el malware se extendió a otros dispositivos en la red local. Dentro de los sistemas infectados, WannaCry se comportaba de manera normal: cifraba los archivos y exigía un rescate.
Poco menos de dos meses después del estallido de WannaCry, apareció otro cifrador, también modificado por EternalBlue: NotPetya, también conocido como ExPetr. NotPetya devoraba discos duros enteros.
Es más, NotPetya cifró la tabla de archivos de tal manera que descartaba el descifrado, incluso si se hubiese pagado el rescate. Como resultado, los expertos concluyeron que, de hecho, era un limpiador disfrazado de cifrador. El daño global de NotPetya sobrepasó los 10 mil millones de dólares.
El ataque de WannaCry fue tan devastador que Microsoft liberó un parche urgente para sistemas operativos a los que ya no daba soporte. Las actualizaciones para los sistemas con soporte habían estado disponibles mucho antes de ambas epidemias, pero no todos las habían instalado, lo que permitió que estos dos programas de ransomware se hicieran presentes por mucho tiempo.
2017: Un millón de billetes por descifrado
Además de los daños sin precedente, en 2017 se estableció otro récord para el rescate más grande conocido de una sola organización. El host web surcoreano Nayana acordó pagar 1 millón de dólares (negociado, la cantidad original era 4.5 veces más) para desbloquear las computadoras infectadas con el cifrador Erebus.
Lo que más sorprendió a la comunidad de expertos fue que la empresa hizo público el anuncio del pago. La mayoría de las víctimas prefieren no anunciar estas cosas.
2018–2019: Una amenaza para la sociedad
Los últimos años se destacan por la presencia de ataques masivos con ransomware a los servicios e instalaciones comunitarias. El riesgo aumentó para el transporte, el agua, la energía y las instituciones de salud. Los cibercriminales contaban con que éstas también pagaran; incluso si las solicitudes de rescate eran muy grandes, quedarse en la oscuridad significaría dejar miles de millones de personas a su suerte.
En 2018, por ejemplo, un ataque con malware cifrador al Aeropuerto de Bristol en el Reino Unido alteró las pantallas que muestran los vuelos durante dos días enteros. El personal tuvo que recurrir a pizarrones, y como mérito para el aeropuerto, su respuesta al ataque fue rápida y efectiva. Hasta donde sabemos, no se cancelaron vuelos y no se pagaron rescates.
A Hancock Health, una clínica de los Estados Unidos, no le fue tan bien, ya que pagaron 4 BTC (en ese momento 55,000 dólares) después de ser atacados por el ransomware SamSam. Para explicar la decisión de la empresa de pagar el rescate, el CEO Steve Long mencionó una tormenta de nieve que se avecinaba, junto con una de las peores temporadas de gripe que se hubiera visto. La clínica no tenía tiempo de restaurar sus computadoras de manera independiente.
En total, más de 170 agencias municipales en los Estados Unidos fueron víctimas de ransomware en 2019, donde las demandas de rescate eran de hasta 5 millones de dólares. Actualizar los sistemas operativos en estas organizaciones puede ser difícil, así que los cibercriminales con frecuencia utilizan exploits viejos, que, en consecuencia, son más accesibles.
2020: Escala en aumento y extorsión con filtración de datos
Además del aumento en las infecciones, así como las consecuencias y las cantidades por el rescate, 2020 es memorable gracias a un nuevo enfoque híbrido en el que el ransomware, antes de cifrar la información, la enviaba a los operadores de los cibercriminales. Le siguieron amenazas con filtrar la información a la competencia o publicarla. Si consideramos la hipersensibilidad de los datos personales hoy en día, esto podría ser fatal para las empresas. El grupo Maze fue el primero en dominar esta técnica en 2019, pero en 2020 se convirtió en una verdadera tendencia.
La cadena de cirugía cosmética Transform Hospital Group fue víctima de uno de los incidentes de más alto perfil de 2020. El grupo de cibercriminales REvil cifró y robó 900GB de datos de Transform, incluidas fotografías pre y pos operatorias de los pacientes, que los atacantes amenazaron con publicar.
Además, los operadores de malware cifrador adoptaron una gama de tácticas nuevas en 2020. Por ejemplo, el grupo REvil comenzó a subastar información robada. Los cibercriminales también se unieron en organizaciones estilo cártel. Primero fue el grupo Maze, el cual comenzó a publicar información robada mediante el cifrador LockBit. De acuerdo con los cibercriminales, ahora trabajan de cerca con LockBit, quien presta su plataforma para filtración de datos, así como para compartir conocimiento.
También presumían de que otro grupo destacado pronto se uniría al cártel: RagnarLocker, un pionero en la organización de ataques DDoS a los recursos de las víctimas como palanca adicional para presionar a las compañías que extorsiona.
Conclusión
En el trascurso de tres décadas, el ransomware ha evolucionado de ser un juguete relativamente inofensivo a una amenaza seria a los usuarios de todas las plataformas, especialmente a las empresas. Para protegerte contra los ataques, asegúrate de seguir unas cuantas reglas de seguridad; y, si de alguna forma, un ataque es exitoso, es importante que busques ayuda de los expertos y no cedas a la voluntad de los cibercriminales.
Consejos