Identificación de ransomware: en qué se diferencian los troyanos de cifrado

¿Qué es el ransomware?

El ransomware es una de las tantas clases de software malicioso —también llamado malware— que utilizan los cibercriminales. Cuando el ransomware infecta un equipo o una red, cifralos archivos que encuentra o bloquea la posibilidad de usar libremente el sistema afectado. Los delincuentes detrás de estos ataques les exigen a sus víctimas el pago de un rescate para descifrar la información que han tomado como rehén. Para evitar una infección de ransomware, hay dos conductas muy recomendables: tener cautela y usar una buena solución de seguridad. Quien ha caído presa del ransomware tienen tres opciones: pagar el dinero que se les exige, intentar eliminar el software malicioso o reiniciar su dispositivo. Los vectores de ataque que más utilizan los troyanos extorsivos son el protocolo de escritorio remoto RDP, las vulnerabilidades de software y los correos electrónicos engañosos (phishing). Los ataques de ransomware pueden afectar tanto a empresas como a individuos.

Clases de ransomware: claves para reconocer al enemigo

Las clases de ransomware más frecuentes son dos:

• Ransomware de bloqueo. Este tipo de ransomware está diseñado para bloquear funciones básicas del equipo. Puede, por ejemplo, impedir el acceso al escritorio del sistema y restringir parcialmente el uso del teclado y del mouse. La víctima puede interactuar únicamente con la ventana en la que se le exige el pago de un rescate. Las demás funciones del equipo quedan inutilizables. El ransomware de bloqueo tiene un lado positivo: por lo general, restringe el uso del equipo, pero deja sin cambios los archivos. La información de la víctima rara vez corre el riesgo de desaparecer.
• Ransomware de cifrado. Este tipo de ransomware está diseñado para cifrarlos archivos más importantes de la víctima, como sus documentos, fotos y videos. El funcionamiento del equipo no se ve afectado en modo alguno. La víctima entra en pánico porque ve que sus archivos siguen allí, pero no puede abrirlos. Esta clase de malware muestra una leyenda en la que se exige el pago de un rescate y, por lo general, una cuenta regresiva. “Pague antes de que se agote el tiempo o perderá sus archivos”, advierte el software. Como no todas las personas tienen copias de seguridad de sus archivos en la nube o en un soporte externo, el ransomware de cifrado puede tener un impacto muy profundo. No sorprende que muchas víctimas paguen para recuperar su información.

Locky, Petya y compañía

Hasta aquí hemos hablado de qué es el ransomware y cuáles son las dos clases principales. A continuación, veremos algunos de los ejemplos más conocidos para que aprendas a reconocer los riesgos del ransomware.

Locky

Los ataques con el ransomware Locky comenzaron en 2016, de la mano de un grupo organizado de hackers. Locky estaba diseñado para cifrar más de 160 tipos de archivos. Se propagaba en forma de archivo adjunto, a través de correos electrónicos engañosos. Cuando un usuario recibía uno de estos mensajes y caía en el engaño, instalaba el ransomware sin notarlo. El método de propagación que utilizaba Locky se denomina “phishing” y es una forma de ingeniería social. Locky se centraba en clases de archivos que se suelen utilizar en programación, diseño, ingeniería y control de calidad.

WannaCry

WannaCry fue un ataque de ransomware ocurrido en 2017. Tuvo víctimas en más de 150 países. El ataque se basaba en una vulnerabilidad del sistema operativo Windows. La vulnerabilidad, explotada en un primer momento por la NSA, fue divulgada por el grupo hacker Shadow Brokers. WannaCry infectó más de 230 000 computadoras alrededor del mundo. En el Reino Unido, el ataque afectó un tercio de los centros de salud del NHS y, se calcula, tuvo un costo superior a las 92 millones de libras. Los usuarios afectados por WannaCry quedaron sin acceso a sus archivos y se enfrentaron a pagar una suma extorsiva en bitcoins. El ataque dejó en evidencia la problemática de los sistemas desactualizados, pues los hackers se aprovecharon de una vulnerabilidad para la que desde hacía tiempo existía un parche. Se cree que el costo mundial de WannaCry ascendió a unos 4 000 millones de dólares.

Bad Rabbit

Bad Rabbit es el nombre de un ataque de ransomware, ocurrido en el año 2017, que se propagó utilizando un método conocido como descarga oculta. El ataque se perpetró a través de sitios web inseguros. En un ataque de ransomware con descarga oculta, la víctima ingresa a un sitio web legítimo sin saber que ha sido vulnerado. Esta acción suele ser suficiente para que se inicie la descarga y se concrete el ataque. En este caso, sin embargo, la infección ocurría cuando el usuario ejecutaba un programa de instalación con malware oculto. Tales programas se denominan instaladores (o, en inglés, “droppers”) de malware. Para infectar el equipo, Bad Rabbit le pedía al usuario que ejecutara un instalador de Adobe Flash que resultaba ser falso.

Ryuk

Ryuk, un troyano cifrador que se propagó durante agosto de 2018, estaba programado para deshabilitarla característica de recuperación con la que cuentan los sistemas operativos Windows. Con ello, si el usuario no contaba con una copia de seguridad externa, recuperar la información cifrada resultaba imposible. Ryuk se aseguraba también de cifrar cualquier disco duro conectado a la red. El impacto fue enorme. En Estados Unidos, muchas de las organizaciones atacadas optaron por pagar el rescate. El costo estimado asciende a más de 640 000 dólares.

Shade/Troldesh

Shade y Troldesh son dos nombres con los que se conoce a un ataque de ransomware ocurrido en 2015. El malware, en este caso, se propagaba a través de vínculos o adjuntos infectados, que se distribuían a través de correos electrónicos masivos. Un aspecto interesante de este caso es que los atacantes se comunicaban con sus víctimas en forma directa por correo electrónico. Si entablaban una buena relación con una víctima, le ofrecían un descuento. Vale destacar que este tipo de comportamiento es la excepción, no la regla.

Jigsaw

Jigsaw es un ataque de ransomware que comenzó en 2016. Su nombre se debe a que el ransomware mostraba una imagen del personaje de la película “El juego del miedo”. Según pasaban las horas sin que se pagara el dinero del rescate, Jigsaw eliminaba más y más archivos. La víctima, espantada de por sí al ver sus archivos desaparecer, debía soportar también la imagen del horroroso personaje.

CryptoLocker

El ransomware CryptoLocker apareció por primera vez en el año 2007. Se propagaba por correo electrónico, a través de archivos adjuntos infectados. Una vez que se introducía en un equipo, buscaba la información más importante y la cifraba. Se estima que unas 500 000 computadoras se vieron afectadas. CryptoLocker se propagaba a través de una red mundial de computadoras hogareñas infectadas. Tras un arduo trabajo, empresas y fuerzas de seguridad lograron hacerse con el mando de esta red. Ello les permitió interceptar la información que se transmitía a los delincuentes sin que estos lo notaran. El esfuerzo derivó en la creación de un portal web, que las víctimas podían visitar para obtener una clave de desbloqueo. La clave permitía recuperar la información cifrada sin pagar el dinero del rescate.

Petya

Petya (no confundir con ExPetr) es un ataque de ransomware que se vio por primera vez en 2016 y que reapareció, con el nombre de GoldenEye, en 2017. El ransomware no se conformaba con cifrar solo ciertos archivos, sino que cifraba el disco duro entero. Cifraba para ello la tabla maestra de archivos (MFT), por lo que acceder al contenido del disco se volvía realmente imposible. Petya se infiltraba en los departamentos de Recursos Humanos de las grandes empresas a través de una aplicación falsa que contenía un vínculo de Dropbox infectado.

Existió una variante de Petya, llamada Petya 2.0, que se diferencia de la versión original en algunos aspectos clave. En lo que respecta al modo de ataque, sin embargo, ambas variedades eran igual de mortíferas para los dispositivos infectados.

GoldenEye

El resurgimiento de Petya en 2017, esta vez con el nombre de GoldenEye, derivó en una infección de ransomware que dio la vuelta al mundo. GoldenEye, conocido como el “hermano mortífero” de WannaCry, afectó a más de 2000 objetivos, entre los cuales hubo bancos y reconocidas petroleras rusas. Una de las consecuencias más alarmantes del ataque tuvo lugar en la planta nuclear de Chernóbil: allí, los empleados se vieron obligados a controlar el nivel de radiación en forma manual porque el ransomware los dejó sin acceso a sus equipos con Windows.

GandCrab

GandCrab es un ejemplo de ransomware particularmente desagradable: amenazaba a sus víctimas con revelarsu consumo de pornografía. El software aseguraba tener acceso a la cámara web del equipo y exigía el pago de un rescate. Según la amenaza, a menos que se pagara ese dinero, el ransomware haría públicas ciertas grabaciones privadas de la víctima. La versión original de GandCrab hizo su debut en 2018 y se tiene registro de variantes posteriores. Las empresas de seguridad y las agencias policiales que forman parte de la iniciativa “No More Ransom” crearon una herramienta de descifrado para GandCrab, que las víctimas podían utilizar para recuperar sus datos.

B0r0nt0k

B0r0nt0k es un ransomware de cifrado que se creó específicamente para servidores con Windows y Linux. Tras infiltrarse en un servidor con Linux, este dañino software cifra los archivos que encuentra y les añade la extensión “.rontok”. Además de afectar los archivos almacenados, el ransomware deshabilita funciones y aplicaciones, modifica los ajustes de arranque y agrega archivos, programas y entradas del Registro.

Ransomware Dharma Brrr

Brrr es un nuevo integrante de la familia de ransomware Dharma. Los hackers instalan este malware manualmente en el equipo de la víctima tras introducirse en el mismo por Internet, a través de los servicios de escritorio remoto. Los archivos del equipo comienzan a cifrarse en cuanto el hacker activa el ransomware. Los archivos cifrados toman la extensión “.id-[id].[email].brrr”.

Ransomware FAIR RANSOMWARE

FAIR RANSOMWARE está diseñado para cifrar información. Utiliza un potente algoritmo para cifrar todos los documentos y archivos privados de la víctima. Los archivos cifrados toman la extensión “.FAIR RANSOMWARE”.

Ransomware MADO

MADO es otro tipo de ransomware de cifrado. Los archivos cifrados por este malware toman la extensión “.mado” y dejan de poder abrirse.

Ataques de ransomware

Como ya hemos dicho, nada ni nadie está a salvo del ransomware. Por lo general, los atacantes exigen sumas de dinero que oscilan entre los 100 y 200 dólares. A veces, sin embargo, el monto del rescate es mucho mayor; esto suele ocurrir cuando la víctima es una empresa y el delincuente reconoce el costo financiero de tener secuestrados sus archivos. Los criminales que recurren al ransomware pueden hacer grandes cantidades de dinero. En los dos casos que relatamos a continuación, la víctima del ataque es (o era) más significativa que el tipo de ransomware que se utilizó.

Ransomware para WordPress

El ransomware para WordPress está enfocado, como se deduce del nombre, en los archivos de los sitios web que se gestionan con WordPress. Como ocurre con cualquier otra clase de ransomware, la víctima se encuentra con que se le exige el pago de un rescate. Cuanto más popular es un sitio de WordPress, mayor es la probabilidad de que sea atacado con ransomware.

El caso Wolverine

Wolverine Solutions Group, una empresa que presta servicios el sector de la salud, fue víctima de un ataque de ransomware en septiembre de 2018. El ransomware cifró una gran cantidad de archivos y dejó a los empleados sin acceso a ellos. Para el 3 de octubre, personal especializado en técnicas forenses había logrado descifrar y restaurar la información. No obstante, durante el ataque, una gran cantidad de información sobre pacientes quedó expuesta. Es posible que los delincuentes hayan retenido nombres, direcciones, información médica y otros datos confidenciales.

Ransomware como servicio

Con el ransomware como servicio, los delincuentes con pocos conocimientos técnicos también pueden realizar ataques con ransomware. Los programadores simplemente ponen su software malicioso a la venta. Para quienes crean esta clase de software, esta es una estrategia más rentable y menos riesgosa.

Conclusión

Los ataques de ransomware vienen en las más variadas formas y tamaños. El vector de ataque es siempre un factor que condiciona el tipo de ransomware utilizado. Para estimar el tamaño o el alcance de un ataque, es necesario evaluar qué es lo que está en riesgo y qué clase de información podría desaparecer o quedar expuesta. Las estrategias para aplacar los efectos de un ataque son las mismas para todos los tipos de ransomware: usar adecuadamente una solución de seguridad y contar con copias de seguridad.