Ransomware

Software malicioso utilizado en solicitudes de rescate

El ransomware es un tipo de malware que bloquea permanentemente el acceso a los datos personales de la víctima a menos que se pague un "rescate". Si bien algunos ransomware simples pueden bloquear el sistema sin dañar ningún archivo, el malware más avanzado utiliza una técnica llamada extorsión criptoviral. Encripta los archivos de la víctima, haciéndolos inaccesibles, y exige el pago de un rescate para desencriptarlos. ^{[1] [2] [3] [4] [5]} En un ataque de extorsión criptoviral implementado correctamente, recuperar los archivos sin la clave de desencriptación es un problema insoluble , y se utilizan monedas digitales difíciles de rastrear, como paysafecard o Bitcoin y otras criptomonedas para los rescates, lo que dificulta el rastreo y el procesamiento de los perpetradores.

Los ataques de ransomware suelen llevarse a cabo mediante un troyano camuflado en un archivo legítimo que el usuario debe descargar o abrir cuando llega como archivo adjunto a un correo electrónico. Sin embargo, un ejemplo muy conocido, el gusano WannaCry , se desplaza automáticamente entre ordenadores sin interacción del usuario. ^[6]

El uso de estafas de ransomware ha crecido a nivel internacional desde 1989, cuando se publicó el primer ransomware documentado, conocido como el troyano AIDS . ^{[7] [8] [9]} En los primeros seis meses de 2018, hubo 181,5 millones de ataques de ransomware. Este récord marca un aumento del 229 % con respecto al mismo período de 2017. ^[10] En junio de 2014, el proveedor McAfee publicó datos que mostraban que había recopilado más del doble de muestras de ransomware en ese trimestre que en el mismo trimestre del año anterior. ^[11] CryptoLocker tuvo un éxito especial, ya que recaudó aproximadamente 3 millones de dólares antes de que las autoridades lo desmantelaran, ^{[12] y la} Oficina Federal de Investigaciones (FBI) de Estados Unidos estimó que CryptoWall había acumulado más de 18 millones de dólares en junio de 2015. ^[13] En 2020, el IC3 recibió 2.474 denuncias identificadas como ransomware con pérdidas ajustadas de más de 29,1 millones de dólares. Las pérdidas podrían ser más que eso, según el FBI. ^[14] A nivel mundial, según Statistica , hubo alrededor de 623 millones de ataques de ransomware en 2021 y 493 millones en 2022. ^[15]

Operación

El concepto de ransomware de cifrado de archivos fue inventado e implementado por Young y Yung en la Universidad de Columbia y fue presentado en la conferencia IEEE Security & Privacy de 1996. Se llama extorsión criptoviral y se inspiró en el facehugger ficticio de la película Alien . ^[16] La extorsión criptoviral es el siguiente protocolo de tres rondas que se lleva a cabo entre el atacante y la víctima. ^[1]

1. [atacante→víctima] El atacante genera un par de claves y coloca la clave pública correspondiente en el malware. El malware se libera.
2. [víctima→atacante] Para llevar a cabo el ataque de extorsión criptoviral, el malware genera una clave simétrica aleatoria y encripta los datos de la víctima con ella. Utiliza la clave pública del malware para encriptar la clave simétrica. Esto se conoce como encriptación híbrida y da como resultado un pequeño texto cifrado asimétrico, así como el texto cifrado simétrico de los datos de la víctima. Pone a cero la clave simétrica y los datos de texto sin formato originales para evitar la recuperación. Envía un mensaje al usuario que incluye el texto cifrado asimétrico y cómo pagar el rescate. La víctima envía el texto cifrado asimétrico y dinero electrónico al atacante.
3. [atacante→víctima] El atacante recibe el pago, descifra el texto cifrado asimétrico con la clave privada del atacante y envía la clave simétrica a la víctima. La víctima descifra los datos cifrados con la clave simétrica necesaria, completando así el ataque criptovirológico.

La clave simétrica se genera aleatoriamente y no ayuda a otras víctimas. En ningún momento se expone la clave privada del atacante a las víctimas y la víctima solo tiene que enviar un texto cifrado muy pequeño (la clave cifrada simétrica) al atacante.

Los ataques de ransomware se llevan a cabo normalmente mediante un troyano que entra en un sistema a través de, por ejemplo, un archivo adjunto malicioso, un enlace integrado en un correo electrónico de phishing o una vulnerabilidad en un servicio de red. A continuación, el programa ejecuta una carga útil que bloquea el sistema de alguna manera o afirma bloquear el sistema pero no lo hace (por ejemplo, un programa scareware ). Las cargas útiles pueden mostrar una advertencia falsa supuestamente de una entidad como una agencia de aplicación de la ley , afirmando falsamente que el sistema se ha utilizado para actividades ilegales, contiene contenido como pornografía y medios "pirateados" . ^{[17] [18] [19]}

Algunas cargas útiles consisten simplemente en una aplicación diseñada para bloquear o restringir el sistema hasta que se realice el pago, generalmente configurando el Shell de Windows para sí mismo, ^[20] o incluso modificando el registro de arranque maestro y/o la tabla de particiones para evitar que el sistema operativo arranque hasta que se repare. ^[21] Las cargas útiles más sofisticadas cifran archivos, y muchas utilizan un cifrado fuerte para cifrar los archivos de la víctima de tal manera que solo el autor del malware tenga la clave de descifrado necesaria. ^{[1] [22] [23]}

El pago es prácticamente siempre el objetivo, y la víctima se ve obligada a pagar para que se elimine el ransomware, ya sea proporcionando un programa que pueda descifrar los archivos o enviando un código de desbloqueo que deshaga los cambios de la carga útil. Si bien el atacante puede simplemente tomar el dinero sin devolver los archivos de la víctima, lo mejor para el atacante es realizar el descifrado según lo acordado, ya que las víctimas dejarán de enviar pagos si se sabe que no sirven para nada. Un elemento clave para que el ransomware funcione para el atacante es un sistema de pago conveniente que sea difícil de rastrear. Se han utilizado una variedad de estos métodos de pago, incluidas las transferencias bancarias , los mensajes de texto de tarifa premium , ^{[24] servicios} de cupones prepago como paysafecard , ^{[7] [25] [26]} y la criptomoneda Bitcoin . ^{[27] [28] [29]}

En mayo de 2020, el proveedor Sophos informó que el costo promedio global para remediar un ataque de ransomware (considerando el tiempo de inactividad, el tiempo empleado por las personas, el costo del dispositivo, el costo de la red, la oportunidad perdida y el rescate pagado) fue de $761,106. El noventa y cinco por ciento de las organizaciones que pagaron el rescate recuperaron sus datos. ^[30]

Historia

Cifrado de ransomware

El primer ataque de extorsión con malware conocido, el "troyano SIDA" escrito por Joseph Popp en 1989, tenía un fallo de diseño tan grave que no era necesario pagar al extorsionador. Su carga útil ocultaba los archivos en el disco duro y cifraba sólo sus nombres , y mostraba un mensaje que afirmaba que la licencia del usuario para utilizar un determinado programa había expirado. Se le pedía al usuario que pagara 189 dólares a "PC Cyborg Corporation" para obtener una herramienta de reparación, aunque la clave de descifrado se podía extraer del código del troyano. El troyano también era conocido como "PC Cyborg". Popp fue declarado mentalmente incapacitado para ser juzgado por sus acciones, pero prometió donar las ganancias del malware para financiar la investigación del SIDA . ^[31]

La idea de abusar de los sistemas de efectivo anónimos para recolectar de forma segura rescates por secuestros humanos fue introducida en 1992 por Sebastiaan von Solms y David Naccache . ^[32] Este método de recolección de dinero electrónico también se propuso para ataques de extorsión criptoviral. ^[1] En el escenario de von Solms-Naccache se utilizó una publicación de periódico (ya que los libros de contabilidad de bitcoin no existían en el momento en que se escribió el artículo).

La idea de utilizar criptografía de clave pública para los ataques de secuestro de datos fue introducida en 1996 por Adam L. Young y Moti Yung . Young y Yung criticaron el fallido troyano AIDS Information que dependía únicamente de la criptografía simétrica , cuyo defecto fatal era que la clave de descifrado podía extraerse del troyano, e implementaron un criptovirus experimental de prueba de concepto en un Macintosh SE/30 que utilizaba RSA y el algoritmo Tiny Encryption Algorithm (TEA) para cifrar de forma híbrida los datos de la víctima. Como se utiliza criptografía de clave pública , el virus sólo contiene la clave de cifrado . El atacante mantiene privada la clave de descifrado privada correspondiente . El criptovirus experimental original de Young y Yung hacía que la víctima enviara el texto cifrado asimétrico al atacante, quien lo descifraba y devolvía la clave de descifrado simétrica que contenía a la víctima a cambio de una tarifa. Mucho antes de que existiera el dinero electrónico, Young y Yung propusieron que el dinero electrónico también podía ser extorsionado a través del cifrado, afirmando que "el creador del virus puede retener efectivamente todo el dinero del rescate hasta que se le entregue la mitad. Incluso si el dinero electrónico fue cifrado previamente por el usuario, no le sirve de nada al usuario si es cifrado por un criptovirus". ^[1] Se refirieron a estos ataques como " extorsión criptoviral ", un ataque abierto que forma parte de una clase más grande de ataques en un campo llamado criptovirología , que abarca tanto los ataques abiertos como los encubiertos. ^[1] El protocolo de extorsión criptoviral se inspiró en la relación parasitaria entre el facehugger de HR Giger y su anfitrión en la película Alien . ^{[1] [16]}

Los ejemplos de ransomware extorsivo se hicieron prominentes en mayo de 2005. ^[33] A mediados de 2006, troyanos como Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip y MayArchive comenzaron a utilizar esquemas de cifrado RSA más sofisticados, con tamaños de clave cada vez mayores. Gpcode.AG, que se detectó en junio de 2006, estaba cifrado con una clave pública RSA de 660 bits. ^[34] En junio de 2008, se detectó una variante conocida como Gpcode.AK. Utilizando una clave RSA de 1024 bits, se creyó que era lo suficientemente grande como para que fuera computacionalmente inviable descifrarla sin un esfuerzo distribuido concertado . ^{[35] [36] [37] [38]}

El ransomware de cifrado volvió a cobrar importancia a finales de 2013 con la propagación de CryptoLocker , que utiliza la plataforma de moneda digital Bitcoin para cobrar el dinero del rescate. En diciembre de 2013, ZDNet estimó basándose en la información de transacciones de Bitcoin que entre el 15 de octubre y el 18 de diciembre, los operadores de CryptoLocker habían obtenido unos 27 millones de dólares estadounidenses de los usuarios infectados. ^[39] La técnica CryptoLocker fue ampliamente copiada en los meses siguientes, incluyendo CryptoLocker 2.0 (que se cree que no está relacionado con CryptoLocker), CryptoDefense (que inicialmente contenía un importante fallo de diseño que almacenaba la clave privada en el sistema infectado en una ubicación recuperable por el usuario , debido a su uso de las API de cifrado integradas de Windows), ^{[28] [40] [41] [42]} y el descubrimiento en agosto de 2014 de un troyano que apunta específicamente a dispositivos de almacenamiento conectados a la red producidos por Synology . ^[43] En enero de 2015, se informó que se habían producido ataques de estilo ransomware contra sitios web individuales mediante piratería informática y mediante ransomware diseñado para atacar servidores web basados ​​en Linux . ^{[44] [45] [46]}

En 2022, Costa Rica recibió ataques generalizados del ransomware Conti que afectaron al gobierno, la atención médica y la industria. ^[47] Esto llevó al presidente Rodrigo Chaves a declarar el estado de emergencia y anunciar que Costa Rica está "en guerra" con sus piratas informáticos de ransomware. ^[48]

En algunas infecciones, existe una carga útil de dos etapas, común en muchos sistemas de malware. Se engaña al usuario para que ejecute un script, que descarga el virus principal y lo ejecuta. En las primeras versiones del sistema de carga útil dual, el script estaba contenido en un documento de Microsoft Office con una macro VBScript adjunta, o en un archivo de instalación de scripts de Windows (WSF). A medida que los sistemas de detección comenzaron a bloquear estas cargas útiles de primera etapa, el Centro de protección contra malware de Microsoft identificó una tendencia hacia los archivos LNK con scripts autónomos de Microsoft Windows PowerShell . ^[49] En 2016, se descubrió que PowerShell estaba involucrado en casi el 40% de los incidentes de seguridad de endpoints. ^[50]

Algunas cepas de ransomware han utilizado servidores proxy vinculados a servicios ocultos de Tor para conectarse a sus servidores de comando y control , lo que aumenta la dificultad de rastrear la ubicación exacta de los delincuentes. ^{[51] [52]} Además, los proveedores de la dark web han comenzado cada vez más ^{[ ¿cuándo? ]} a ofrecer la tecnología como un servicio , en el que el ransomware se vende, listo para implementarse en las máquinas de las víctimas, mediante suscripción, de manera similar a Adobe Creative Cloud u Office 365. ^{[52] [53] [54]}

Symantec ha clasificado el ransomware como la amenaza cibernética más peligrosa. ^[55]

Ransomware sin cifrado

En agosto de 2010, las autoridades rusas arrestaron a nueve personas vinculadas a un troyano ransomware conocido como WinLock. A diferencia del troyano Gpcode anterior, WinLock no utilizaba cifrado. En cambio, WinLock restringía trivialmente el acceso al sistema mostrando imágenes pornográficas y solicitaba a los usuarios que enviaran un SMS de tarifa premium (que costaba alrededor de 10 dólares estadounidenses) para recibir un código que podría usarse para desbloquear sus máquinas. La estafa afectó a numerosos usuarios en toda Rusia y países vecinos, y al parecer el grupo ganó más de 16 millones de dólares estadounidenses. ^{[19] [56]}

En 2011, apareció un troyano ransomware que imitaba el aviso de activación de productos de Windows e informaba a los usuarios de que la instalación de Windows de un sistema debía reactivarse debido a que habían sido víctimas de un fraude. Se ofrecía una opción de activación en línea (como el proceso de activación de Windows real), pero no estaba disponible y el usuario debía llamar a uno de los seis números internacionales para ingresar un código de seis dígitos. Si bien el malware afirmaba que la llamada sería gratuita, la enrutaba un operador fraudulento en un país con tarifas telefónicas internacionales elevadas, que ponía la llamada en espera, lo que hacía que el usuario incurriera en grandes cargos de larga distancia internacional . ^[17]

En 2012, Symantec informó sobre la propagación desde Europa del Este de un ransomware con una pantalla de bloqueo que pretendía ser una agencia de seguridad que exigía el pago de una actividad ilegal. ^[57]

En febrero de 2013, apareció un troyano ransomware basado en el kit de explotación Stamp.EK ; el malware se distribuyó a través de sitios alojados en los servicios de alojamiento de proyectos SourceForge y GitHub que afirmaban ofrecer "fotos falsas de desnudos" de celebridades. ^[58] En julio de 2013, apareció un troyano ransomware específico de OS X , que muestra una página web que acusa al usuario de descargar pornografía. A diferencia de sus homólogos basados ​​en Windows, no bloquea todo el equipo, sino que simplemente explota el comportamiento del propio navegador web para frustrar los intentos de cerrar la página a través de medios normales. ^[59]

En julio de 2013, un hombre de 21 años de Virginia, cuyo ordenador contenía fotografías pornográficas de niñas menores de edad con las que había mantenido comunicaciones sexualizadas, se entregó a la policía tras recibir y ser engañado por el ransomware MoneyPak del FBI, que lo acusaba de poseer pornografía infantil. Una investigación descubrió los archivos incriminatorios y el hombre fue acusado de abuso sexual infantil y posesión de pornografía infantil. ^[60]

Exfiltración (Leakware / Doxware)

El reverso del ransomware es un ataque criptovirológico inventado por Adam L. Young que amenaza con publicar información robada del sistema informático de la víctima en lugar de negarle el acceso a ella. ^[61] En un ataque de leakware, el malware exfiltra datos confidenciales del host ya sea al atacante o, alternativamente, a instancias remotas del malware, y el atacante amenaza con publicar los datos de la víctima a menos que se pague un rescate. El ataque se presentó en West Point en 2003 y se resumió en el libro Malicious Cryptography de la siguiente manera: "El ataque se diferencia del ataque de extorsión en la siguiente forma. En el ataque de extorsión, a la víctima se le niega el acceso a su propia información valiosa y tiene que pagar para recuperarla, mientras que en el ataque que se presenta aquí la víctima conserva el acceso a la información, pero su divulgación queda a discreción del virus informático". ^[62] El ataque tiene sus raíces en la teoría de juegos y originalmente se denominó "juegos de suma no cero y malware superable". El ataque puede generar ganancias monetarias en los casos en que el malware obtiene acceso a información que puede dañar al usuario o a la organización víctima, por ejemplo, el daño a la reputación que podría resultar de la publicación de pruebas de que el ataque en sí fue un éxito.

Los objetivos comunes de exfiltración incluyen:

• información de terceros almacenada por la víctima principal (como información de la cuenta del cliente o registros médicos);
• información propiedad de la víctima (como secretos comerciales e información de productos)
• Información embarazosa (como información sobre la salud de la víctima o información sobre el pasado personal de la víctima)

Los ataques de exfiltración suelen ser selectivos, con una lista seleccionada de víctimas y, a menudo, con una vigilancia preliminar de los sistemas de las víctimas para encontrar posibles objetivos de datos y debilidades. ^{[63] [64]}

Ransomware móvil

Con la creciente popularidad del ransomware en las plataformas de PC, el ransomware dirigido a los sistemas operativos móviles también ha proliferado. Por lo general, las cargas útiles del ransomware móvil son bloqueadores, ya que hay pocos incentivos para cifrar los datos, ya que se pueden restaurar fácilmente a través de la sincronización en línea. ^[65] El ransomware móvil generalmente se dirige a la plataforma Android , ya que permite que se instalen aplicaciones desde fuentes de terceros. ^{[65] [66]} La carga útil generalmente se distribuye como un archivo APK instalado por un usuario desprevenido; puede intentar mostrar un mensaje de bloqueo sobre todas las demás aplicaciones, ^[66] mientras que otro utilizó una forma de clickjacking para hacer que el usuario le dé privilegios de "administrador del dispositivo" para lograr un acceso más profundo al sistema. ^[67]

Se han utilizado diferentes tácticas en los dispositivos iOS , como explotar cuentas de iCloud y usar el sistema Find My iPhone para bloquear el acceso al dispositivo. ^[68] En iOS 10.3 , Apple corrigió un error en el manejo de ventanas emergentes de JavaScript en Safari que había sido explotado por sitios web de ransomware. ^[69] Recientemente ^{[ ¿ cuándo? ]} se ha demostrado que el ransomware también puede apuntar a arquitecturas ARM como las que se pueden encontrar en varios dispositivos de Internet de las cosas (IoT), como los dispositivos de borde de IoT industrial. ^[70]

En agosto de 2019, los investigadores demostraron que es posible infectar cámaras DSLR con ransomware. ^[71] Las cámaras digitales suelen utilizar el Protocolo de transferencia de imágenes (PTP, el protocolo estándar utilizado para transferir archivos). Los investigadores descubrieron que era posible explotar vulnerabilidades en el protocolo para infectar la(s) cámara(s) de destino con ransomware (o ejecutar cualquier código arbitrario). Este ataque se presentó en la conferencia de seguridad Defcon en Las Vegas como un ataque de prueba de concepto (no como malware armado real).

Progresión de los ataques

Los primeros ataques se dirigieron a usuarios aleatorios, generalmente infectados a través de archivos adjuntos de correo electrónico enviados por pequeños grupos de delincuentes, en los que se exigían unos cientos de dólares en criptomonedas para desbloquear archivos (normalmente fotografías y documentos de un particular) que el ransomware había cifrado. A medida que el ransomware maduró como negocio, las bandas organizadas entraron en el campo, anunciando en la red oscura a expertos y subcontratando funciones. Esto llevó a una mejora en la calidad del ransomware y su éxito. En lugar de correos electrónicos aleatorios, las bandas robaban credenciales, encontraban vulnerabilidades en las redes de destino y mejoraban el malware para evitar que los escáneres antimalware lo detectaran. Los rescates exigidos aumentaron hasta las sumas mucho mayores (millones) que una empresa pagaría para recuperar sus datos, en lugar de lo que un particular pagaría por sus documentos (cientos).

En 2016, se observó un aumento significativo de los ataques de ransomware a los hospitales. Según el Informe sobre amenazas a la seguridad en Internet de 2017 de Symantec Corp, el ransomware afectó no solo a los sistemas informáticos, sino también a la atención al paciente, las operaciones clínicas y la facturación. Los delincuentes en línea pueden estar motivados por el dinero disponible y la sensación de urgencia dentro del sistema de atención sanitaria. ^[72]

El ransomware está creciendo rápidamente entre los usuarios de Internet, pero también en el entorno de IoT. ^[57] El gran problema es que algunas organizaciones e industrias que han decidido pagar pierden millones de dólares, como el Hollywood Presbyterian Medical Center y el MedStar Health. ^[73]

Según el informe ISTR de Symantec de 2019, por primera vez desde 2013, en 2018 se observó una disminución de la actividad de ransomware con una caída del 20 por ciento. Antes de 2017, los consumidores eran las víctimas preferidas, pero en 2017 esto cambió drásticamente, se trasladó a las empresas. En 2018, este camino se aceleró con un 81 por ciento de infecciones, lo que representó un aumento del 12 por ciento. ^[74] El método de distribución común hoy en día se basa en campañas de correo electrónico.

A finales de 2019, el grupo de ransomware Maze descargó archivos confidenciales de las empresas antes de bloquearlos y amenazó con filtrar los datos públicamente si no se pagaba el rescate; en al menos un caso lo hicieron. Muchas otras bandas siguieron sus pasos; se crearon "sitios de filtración" en la red oscura donde se podía acceder a los datos robados. Los ataques posteriores se centraron en la amenaza de filtrar datos, sin bloquearlos necesariamente, lo que anuló la protección que brindan a las víctimas los sólidos procedimientos de copia de seguridad. A partir de 2023 ^[actualizar]existe el riesgo de que los gobiernos hostiles utilicen ransomware para ocultar lo que en realidad es recopilación de inteligencia. ^[75]

La primera muerte reportada luego de un ataque de ransomware ocurrió en un hospital alemán en octubre de 2020. ^[76]

Durante la pandemia de COVID-19 de 2020 se produjo un aumento significativo de los ataques de ransomware . La evidencia ha demostrado que las instituciones a las que se dirigieron estos ataques incluían el gobierno, las finanzas y la atención médica. Los investigadores han sostenido que varios factores diferentes pueden explicar el aumento de los ataques durante este tiempo. Sin embargo, un factor importante es que el trabajo remoto , que se convirtió en la norma para muchas industrias en 2020, provocó el aumento de los ataques debido a la falta de seguridad en comparación con los entornos de trabajo tradicionales. ^[77]

Objetivos de ataque notables

Paquetes de software notables

Revetón

Una carga útil de Reveton, que afirma fraudulentamente que el usuario debe pagar una multa al Servicio de Policía Metropolitana

En 2012, un importante troyano ransomware conocido como Reveton comenzó a propagarse. Basado en el troyano Citadel (que, a su vez, está basado en el troyano Zeus ), su carga útil muestra una advertencia supuestamente de una agencia de aplicación de la ley que afirma que la computadora ha sido utilizada para actividades ilegales, como la descarga de software sin licencia o pornografía infantil . Debido a este comportamiento, se lo conoce comúnmente como el "troyano de la policía". ^{[78] [79] [80]} La advertencia informa al usuario que para desbloquear su sistema, tendría que pagar una multa utilizando un cupón de un servicio de efectivo prepago anónimo como Ukash o paysafecard . Para aumentar la ilusión de que la computadora está siendo rastreada por la policía, la pantalla también muestra la dirección IP de la computadora , mientras que algunas versiones muestran imágenes de la cámara web de la víctima para dar la ilusión de que el usuario está siendo grabado. ^{[7] [81]}

Reveton comenzó a propagarse inicialmente en varios países europeos a principios de 2012. ^[7] Las variantes se localizaron con plantillas marcadas con los logotipos de diferentes organizaciones policiales según el país del usuario; por ejemplo, las variantes utilizadas en el Reino Unido contenían la marca de organizaciones como el Servicio de Policía Metropolitana y la Unidad Nacional de Delitos Electrónicos de la Policía . Otra versión contenía el logotipo de la sociedad de recaudación de regalías PRS for Music , que acusó específicamente al usuario de descargar música ilegalmente. ^[82] En una declaración advirtiendo al público sobre el malware, la Policía Metropolitana aclaró que nunca bloquearían una computadora de esa manera como parte de una investigación. ^{[7] [18]}

En mayo de 2012, los investigadores de amenazas de Trend Micro descubrieron plantillas para variaciones para Estados Unidos y Canadá , lo que sugiere que sus autores pueden haber estado planeando apuntar a usuarios en América del Norte. ^[83] Para agosto de 2012, una nueva variante de Reveton comenzó a propagarse en Estados Unidos, afirmando requerir el pago de una multa de $ 200 al FBI usando una tarjeta MoneyPak . ^{[8] [9] [81]} En febrero de 2013, un ciudadano ruso fue arrestado en Dubai por las autoridades españolas por su conexión con una red criminal que había estado usando Reveton; otras diez personas fueron arrestadas por cargos de lavado de dinero . ^[84] En agosto de 2014, Avast Software informó que había encontrado nuevas variantes de Reveton que también distribuyen malware para robar contraseñas como parte de su carga útil. ^[85]

Bloqueador criptográfico

El ransomware de cifrado reapareció en septiembre de 2013 con un troyano conocido como CryptoLocker , que generaba un par de claves RSA de 2048 bits y las subía a su vez a un servidor de comando y control, y las usaba para cifrar archivos usando una lista blanca de extensiones de archivo específicas . El malware amenazaba con eliminar la clave privada si no se realizaba un pago en Bitcoin o un cupón de efectivo prepago dentro de los 3 días posteriores a la infección. Debido al tamaño extremadamente grande de la clave que utiliza, los analistas y los afectados por el troyano consideraron que CryptoLocker era extremadamente difícil de reparar. ^{[27] [86] [87] [88]} Incluso después de que pasara la fecha límite, la clave privada aún se podía obtener usando una herramienta en línea, pero el precio aumentaría a 10 BTC, que costaba aproximadamente US$2300 en noviembre de 2013. ^{[89] [90]}

CryptoLocker fue aislado por la incautación de la botnet Gameover ZeuS como parte de la Operación Tovar , como lo anunció oficialmente el Departamento de Justicia de los EE. UU. el 2 de junio de 2014. El Departamento de Justicia también emitió públicamente una acusación contra el hacker ruso Evgeniy Bogachev por su presunta participación en la botnet. ^{[91] [92]} Se estimó que al menos US$3 millones fueron extorsionados con el malware antes del cierre. ^[12]

CryptoLocker.F y TorrentLocker

En septiembre de 2014, surgió una ola de troyanos ransomware que primero apuntaron a usuarios en Australia , bajo los nombres CryptoWall y CryptoLocker (que, al igual que con CryptoLocker 2.0, no está relacionado con el CryptoLocker original). Los troyanos se propagaron a través de correos electrónicos fraudulentos que afirmaban ser avisos de entrega de paquetes fallidos de Australia Post ; para evadir la detección por parte de escáneres de correo electrónico automáticos que siguen todos los enlaces en una página para escanear en busca de malware, esta variante fue diseñada para requerir que los usuarios visiten una página web e ingresen un código CAPTCHA antes de que se descargue realmente la carga útil, evitando que dichos procesos automatizados puedan escanear la carga útil. Symantec determinó que estas nuevas variantes, que identificó como CryptoLocker.F , nuevamente no estaban relacionadas con el CryptoLocker original debido a las diferencias en su funcionamiento. ^{[93] [94]} Una víctima notable de los troyanos fue la Australian Broadcasting Corporation ; La programación en vivo de su canal de noticias de televisión ABC News 24 se interrumpió durante media hora y se trasladó a los estudios de Melbourne debido a una infección CryptoWall en las computadoras de su estudio de Sydney . ^{[95] [96] [97]}

Otro troyano de esta ola, TorrentLocker , inicialmente contenía un fallo de diseño comparable a CryptoDefense: utilizaba la misma secuencia de claves para cada equipo infectado, lo que hacía que el cifrado fuera fácil de superar. Sin embargo, este fallo se solucionó más tarde. ^[40] A finales de noviembre de 2014, se estimó que más de 9000 usuarios habían sido infectados por TorrentLocker solo en Australia, detrás solo de Turquía con 11 700 infecciones. ^[98]

Muro criptográfico

Otro importante troyano ransomware dirigido a Windows, CryptoWall, apareció por primera vez en 2014. Una cepa de CryptoWall se distribuyó como parte de una campaña de publicidad maliciosa en la red publicitaria Zedo a fines de septiembre de 2014 que tenía como objetivo varios sitios web importantes; los anuncios redirigían a sitios web fraudulentos que usaban exploits de complementos del navegador para descargar la carga útil. Un investigador de Barracuda Networks también señaló que la carga útil estaba firmada con una firma digital en un esfuerzo por parecer confiable para el software de seguridad. ^[99] CryptoWall 3.0 usó una carga útil escrita en JavaScript como parte de un archivo adjunto de correo electrónico, que descarga ejecutables disfrazados de imágenes JPG . Para evadir aún más la detección, el malware crea nuevas instancias de explorer.exe y svchost.exe para comunicarse con sus servidores. Al cifrar archivos, el malware también elimina copias de sombra de volumen e instala software espía que roba contraseñas y billeteras Bitcoin . ^[100]

El FBI informó en junio de 2015 que casi 1.000 víctimas se habían comunicado con el Centro de Quejas de Delitos en Internet de la agencia para informar sobre infecciones de CryptoWall y estimaron pérdidas de al menos 18 millones de dólares. ^[13]

La versión más reciente ^{[ ¿cuándo? ]} , CryptoWall 4.0, mejoró su código para evitar la detección del antivirus y encripta no solo los datos de los archivos sino también los nombres de los mismos. ^[101]

Fusob

Fusob es una familia importante de ransomware para dispositivos móviles. Entre abril de 2015 y marzo de 2016, aproximadamente el 56 por ciento del ransomware para dispositivos móviles registrado era Fusob. ^[102]

Al igual que la mayoría de los demás programas de ransomware, emplea tácticas de miedo para extorsionar al usuario y obtener una suma considerable de dinero. ^[103] La aplicación actúa como si fuera un aviso de las autoridades , exigiendo a la víctima que pague una multa de entre 100 y 200 dólares estadounidenses o, de lo contrario, se enfrentará a un cargo penal ficticio. Fusob solicita tarjetas de regalo de iTunes para el pago, a diferencia de la mayoría de los ransomware centrados en criptomonedas.

Para infectar los dispositivos, Fusob se hace pasar por un reproductor de vídeos pornográficos. ^[104] Cuando se instala, primero comprueba el idioma del sistema del dispositivo. Si el idioma es ruso o de Europa del Este, Fusob permanece inactivo. De lo contrario, bloquea el dispositivo y exige un rescate. Alrededor del 40% de las víctimas se encuentran en Alemania, mientras que el Reino Unido abarca el 14,5% de las víctimas y los EE. UU. abarcan el 11,4%. Fusob y Small (otra familia de ransomware) representaron más del 93% del ransomware móvil entre 2015 y 2016.

Quiero llorar

En mayo de 2017, el ataque de ransomware WannaCry se propagó a través de Internet, utilizando un vector de explotación llamado EternalBlue , que supuestamente se filtró de la Agencia de Seguridad Nacional de EE. UU . El ataque de ransomware, sin precedentes en escala, ^[105] infectó más de 230.000 computadoras en más de 150 países, ^[106] utilizando 20 idiomas diferentes para exigir dinero a los usuarios que usaban la criptomoneda Bitcoin . WannaCry exigió 300 dólares estadounidenses por computadora. ^[107] El ataque afectó a Telefónica y varias otras grandes empresas en España, así como a partes del Servicio Nacional de Salud británico (NHS), donde al menos 16 hospitales tuvieron que rechazar pacientes o cancelar operaciones programadas, ^[108] FedEx , Deutsche Bahn , Honda , ^[109] Renault , así como el Ministerio del Interior ruso y la telecomunicaciones rusa MegaFon . ^[110] Los atacantes dieron a sus víctimas un plazo de 7 días a partir del día en que sus computadoras se infectaron, después del cual se eliminarían los archivos cifrados. ^[111]

Petia

Petya fue descubierto por primera vez en marzo de 2016. A diferencia de otras formas de ransomware de cifrado, el malware tenía como objetivo infectar el registro de arranque maestro , instalando una carga útil que cifra las tablas de archivos del sistema de archivos NTFS la próxima vez que se inicie el sistema infectado, impidiendo que el sistema se inicie en Windows hasta que se pague el rescate. Check Point informó que, a pesar de lo que creía que era una evolución innovadora en el diseño de ransomware, había dado lugar a relativamente menos infecciones que otros ransomware activos en el mismo período de tiempo. ^[112]

El 27 de junio de 2017, se utilizó una versión muy modificada de Petya para un ciberataque global dirigido principalmente contra Ucrania (pero que afectó a muchos países ^[113] ). Esta versión había sido modificada para propagarse utilizando el mismo exploit EternalBlue que utilizó WannaCry. Debido a otro cambio de diseño, tampoco puede desbloquear un sistema después de pagar el rescate; esto llevó a los analistas de seguridad a especular que el ataque no tenía como objetivo generar ganancias ilícitas, sino simplemente causar interrupciones. ^{[114] [115]}

Conejo malo

El 24 de octubre de 2017, algunos usuarios en Rusia y Ucrania informaron sobre un nuevo ataque de ransomware, llamado "Bad Rabbit", que sigue un patrón similar a WannaCry y Petya al cifrar las tablas de archivos del usuario y luego exige un pago en Bitcoin para descifrarlas. ESET creía que el ransomware se había distribuido mediante una actualización falsa del software Adobe Flash . ^[116] Entre las agencias que se vieron afectadas por el ransomware se encontraban: Interfax , el Aeropuerto Internacional de Odesa , el Metro de Kiev y el Ministerio de Infraestructura de Ucrania. ^[117] Como utilizó estructuras de redes corporativas para propagarse, el ransomware también se descubrió en otros países, incluidos Turquía, Alemania, Polonia, Japón, Corea del Sur y Estados Unidos. ^[118] Los expertos creían que el ataque de ransomware estaba vinculado al ataque de Petya en Ucrania (especialmente porque el código de Bad Rabbit tiene muchos elementos superpuestos y analógicos al código de Petya/NotPetya, ^[119] añadiendo a CrowdStrike Bad Rabbit y la biblioteca de enlaces dinámicos (DLL) de NotPetya comparten el 67 por ciento del mismo código ^[120] ), aunque la única identidad de los culpables son los nombres de los personajes de la serie Game of Thrones incrustados en el código. ^[118]

Los expertos en seguridad descubrieron que el ransomware no utilizó el exploit EternalBlue para propagarse, y el 24 de octubre de 2017 se encontró un método simple para inocular una máquina no afectada que ejecutaba versiones anteriores de Windows. ^{[121] [122]} Además, los sitios que se habían utilizado para difundir la actualización falsa de Flash se desconectaron o eliminaron los archivos problemáticos a los pocos días de su descubrimiento, lo que acabó con la propagación de Bad Rabbit. ^[118]

SamSam

En 2016, surgió una nueva cepa de ransomware que atacaba a los servidores de JBoss . ^[123] Se descubrió que esta cepa, llamada "SamSam", eludía el proceso de phishing o descargas ilícitas a favor de explotar vulnerabilidades en servidores débiles. ^[124] El malware utiliza un ataque de fuerza bruta de Protocolo de escritorio remoto para adivinar contraseñas débiles hasta que se descifre una. El virus ha estado detrás de ataques a objetivos gubernamentales y de atención médica, con ataques notables ocurridos contra la ciudad de Farmington, Nuevo México , el Departamento de Transporte de Colorado , el condado de Davidson, Carolina del Norte y, más recientemente, ^{[ ¿cuándo? ]} un ataque de ransomware a la infraestructura de Atlanta . ^[124]

El FBI busca a Mohammad Mehdi Shah Mansouri (nacido en Qom , Irán, en 1991) y Faramarz Shahi Savandi (nacido en Shiraz , Irán , en 1984) por supuestamente lanzar el ransomware SamSam. ^[125] Los dos supuestamente ganaron 6 millones de dólares con extorsiones y causaron más de 30 millones de dólares en daños utilizando el malware. ^[126]

Lado oscuro

El 7 de mayo de 2021, se ejecutó un ciberataque en el oleoducto Colonial Pipeline de EE. UU. La Oficina Federal de Investigaciones identificó a DarkSide como el autor del ataque de ransomware Colonial Pipeline , perpetrado por código malicioso , que provocó el cierre voluntario del oleoducto principal que suministra el 45% de combustible a la costa este de Estados Unidos . El ataque fue descrito como el peor ciberataque hasta la fecha a la infraestructura crítica estadounidense . DarkSide extorsionó con éxito alrededor de 75 Bitcoin (casi 5 millones de dólares estadounidenses) de Colonial Pipeline. Los funcionarios estadounidenses están investigando si el ataque fue puramente criminal o se llevó a cabo con la participación del gobierno ruso u otro patrocinador estatal. Tras el ataque, DarkSide publicó una declaración en la que afirmaba que "Somos apolíticos, no participamos en la geopolítica ... Nuestro objetivo es ganar dinero y no crear problemas para la sociedad".

En mayo de 2021, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron una alerta conjunta instando a los propietarios y operadores de infraestructura crítica a tomar ciertas medidas para reducir su vulnerabilidad al ransomware DarkSide y al ransomware en general.

Clave del sistema

Syskey es una utilidad que se incluyó con los sistemas operativos basados ​​en Windows NT para cifrar la base de datos de cuentas de usuario , opcionalmente con una contraseña. La herramienta a veces se ha utilizado de manera efectiva como ransomware durante estafas de soporte técnico , donde una persona que llama con acceso remoto a la computadora puede usar la herramienta para bloquear al usuario fuera de su computadora con una contraseña que solo ellos conocen. ^[127] Syskey se eliminó de las versiones posteriores de Windows 10 y Windows Server en 2017, debido a que estaba obsoleto y "se sabía que los piratas informáticos lo usaban como parte de estafas de ransomware". ^{[128] [129]}

Ransomware como servicio

El ransomware como servicio (RaaS) se convirtió en un método notable después de que el grupo REvil , con sede en Rusia ^[130] o de habla rusa ^{[131], organizara operaciones contra varios objetivos, incluido} JBS SA, con sede en Brasil , en mayo de 2021, y Kaseya Limited, con sede en EE. UU., en julio de 2021. ^[132] Después de una llamada telefónica del 9 de julio de 2021 entre el presidente de los Estados Unidos, Joe Biden , y el presidente ruso , Vladimir Putin , Biden dijo a la prensa: "Le dejé muy claro que Estados Unidos espera que cuando una operación de ransomware provenga de su suelo, incluso si no está patrocinada por el estado, actúen si les damos suficiente información para que actúen sobre quién es". Biden agregó más tarde que Estados Unidos derribaría los servidores del grupo si Putin no lo hacía. ^{[133] [134]} Cuatro días después, los sitios web de REvil y otra infraestructura desaparecieron de Internet. ^[135]

Mitigación

Si se sospecha o detecta un ataque en sus primeras etapas, lleva algún tiempo que se realice el cifrado; la eliminación inmediata del malware (un proceso relativamente simple) antes de que se complete evitaría más daños a los datos, sin recuperar los datos ya perdidos. ^{[136] [137]}

Los expertos en seguridad han sugerido medidas de precaución para lidiar con el ransomware. El uso de software u otras políticas de seguridad para bloquear el lanzamiento de cargas útiles conocidas ayudará a prevenir la infección, pero no protegerá contra todos los ataques ^{[27] [138]} Como tal, tener una solución de respaldo adecuada es un componente crítico para defenderse contra el ransomware. Tenga en cuenta que, debido a que muchos atacantes de ransomware no solo cifrarán la máquina en vivo de la víctima, sino que también intentarán eliminar cualquier copia de seguridad activa almacenada localmente o accesible a través de la red en un NAS , también es fundamental mantener copias de seguridad "fuera de línea" de los datos almacenados en ubicaciones inaccesibles desde cualquier computadora potencialmente infectada , como unidades de almacenamiento externas o dispositivos que no tienen acceso a ninguna red (incluido Internet) , evita que el ransomware acceda a ellos. Además, si se usa un NAS o almacenamiento en la nube , entonces la computadora debe tener permiso de solo anexar al almacenamiento de destino, de modo que no pueda eliminar ni sobrescribir copias de seguridad anteriores. Según comodo , la aplicación de dos reducciones de superficie de ataque en el sistema operativo / núcleo proporciona una superficie de ataque sustancialmente reducida, lo que da como resultado una postura de seguridad mejorada. ^{[139] [140] [141]}

La instalación de actualizaciones de seguridad emitidas por los proveedores de software puede mitigar las vulnerabilidades que aprovechan ciertas cepas para propagarse. ^{[142] [143] [144] [145] [146]} Otras medidas incluyen la higiene cibernética (tener cuidado al abrir archivos adjuntos y enlaces de correo electrónico) , la segmentación de la red y mantener las computadoras críticas aisladas de las redes. ^{[147] [148]} Además, para mitigar la propagación del ransomware se pueden aplicar medidas de control de infecciones . ^[149] Estas pueden incluir desconectar las máquinas infectadas de todas las redes, programas educativos, ^[150] canales de comunicación efectivos, vigilancia de malware ^{[ ¿investigación original? ]} y formas de participación colectiva ^[149]

En agosto de 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un informe que brindaba orientación sobre cómo mitigar los ataques de ransomware. Esto se debió a un aumento significativo en los ataques recientes relacionados con ransomware. Estos ataques incluyeron agresiones contra una empresa de oleoductos estadounidense y una empresa de software, que afectaron a los clientes finales de los MSP . ^[151]

Defensas del sistema de archivos contra ransomware

Varios sistemas de archivos conservan instantáneas de los datos que contienen, que pueden usarse para recuperar el contenido de los archivos de un momento anterior al ataque del ransomware en caso de que el ransomware no los desactive.

• En Windows, la instantánea de volumen (VSS) se usa a menudo para almacenar copias de seguridad de datos; el ransomware a menudo apunta a estas instantáneas para evitar la recuperación y, por lo tanto, suele ser recomendable deshabilitar el acceso del usuario a la herramienta de usuario VSSadmin.exe para reducir el riesgo de que el ransomware pueda deshabilitar o eliminar copias anteriores.
• En Windows 10, los usuarios pueden agregar directorios o archivos específicos al Acceso a carpetas controladas en Windows Defender para protegerlos del ransomware. ^[152] Se recomienda agregar copias de seguridad y otros directorios importantes al Acceso a carpetas controladas.
• A menos que el malware se arraigue en el sistema host ZFS al implementar un ataque codificado para emitir comandos administrativos ZFS, los servidores de archivos que ejecutan ZFS son ampliamente inmunes al ransomware, porque ZFS es capaz de tomar instantáneas incluso de un sistema de archivos grande muchas veces por hora, y estas instantáneas son inmutables (solo lectura) y se pueden revertir fácilmente o recuperar archivos en caso de corrupción de datos. ^[153] En general, solo un administrador puede eliminar (pero no modificar) instantáneas.

Descifrado y recuperación de archivos

Hay una serie de herramientas diseñadas específicamente para descifrar archivos bloqueados por ransomware, aunque la recuperación exitosa puede no ser posible. ^{[2] [154]} Si se utiliza la misma clave de cifrado para todos los archivos, las herramientas de descifrado utilizan archivos para los que existen copias de seguridad no dañadas y copias cifradas (un ataque de texto plano conocido en la jerga del criptoanálisis . Pero solo funciona cuando el cifrado que utilizó el atacante era débil para empezar, siendo vulnerable al ataque de texto plano conocido); la recuperación de la clave, si es posible, puede tardar varios días. ^[155] Las herramientas gratuitas de descifrado de ransomware pueden ayudar a descifrar archivos cifrados por las siguientes formas de ransomware: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear , Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt , XData. ^[156] El cifrado de ransomware que ha sido descifrado por investigadores de seguridad generalmente se abandona para fines delictivos; por lo tanto, en la práctica, la mayoría de los ataques no se pueden revertir rompiendo el cifrado. ^[157]

El Proyecto No More Ransom es una iniciativa de la Unidad Nacional de Delitos de Alta Tecnología de la policía de los Países Bajos , el Centro Europeo de Delitos Cibernéticos de Europol , Kaspersky Lab y McAfee para ayudar a las víctimas de ransomware a recuperar sus datos sin pagar un rescate. ^[158] Ofrecen una herramienta gratuita CryptoSheriff para analizar archivos cifrados y buscar herramientas de descifrado. ^[159]

Además, es posible que en el disco existan copias antiguas de archivos que hayan sido borrados previamente. En algunos casos, estas versiones borradas aún pueden recuperarse utilizando software diseñado para ese fin .

Una investigación de ProPublica de 2019 descubrió que las empresas de ciberseguridad Proven Data Recovery y Monstercloud, que anunciaban servicios de descifrado sin rescate, normalmente simplemente pagaban el rescate y cobraban a la víctima un precio más alto. ^[157] Los piratas informáticos de SamSam trataban con Proven Data con tanta frecuencia que recomendaban la empresa a las víctimas que tenían dificultades técnicas para realizar el pago. ^[157] Otras empresas como Coveware eran más transparentes al ofrecer el servicio de pagar a los piratas informáticos y parchar los sistemas inseguros. ^[157] Muchas víctimas estadounidenses descubrieron que el monto del rescate era demasiado bajo para cumplir con el umbral del Departamento de Justicia de los Estados Unidos para la participación federal, pero que la policía local carecía de las capacidades técnicas para ayudar y, a menudo, eran víctimas ellas mismas. ^[157]

Arrestos y condenas penales

Zain Qaiser

Un estudiante británico, Zain Qaiser, de Barking, Londres, fue encarcelado durante más de seis años en el Tribunal de la Corona de Kingston upon Thames por sus ataques de ransomware en 2019. ^[160] Se dice que ha sido "el cibercriminal más prolífico en ser sentenciado en el Reino Unido". Comenzó a actuar cuando tenía solo 17 años. Se puso en contacto con el controlador ruso de uno de los ataques más poderosos, que se cree que es la banda de malware Lurk, y organizó una división de sus ganancias. También se puso en contacto con delincuentes en línea de China y Estados Unidos para mover el dinero. ^[160] Durante aproximadamente un año y medio, se hizo pasar por un proveedor legítimo de promociones en línea de publicidad de libros en algunos de los sitios web de pornografía legal más visitados del mundo. Cada uno de los anuncios que se promocionaban en los sitios web contenía la cepa Reveton Ransomware del malicioso Angler Exploit Kit (AEK) ^[161] que tomó el control de la máquina. Los investigadores descubrieron unas 700.000 libras de ganancias, aunque su red podría haber ganado más de 4 millones de libras. Es posible que haya escondido algo de dinero utilizando criptomonedas. El ransomware instruía a las víctimas a comprar vales GreenDot MoneyPak e introducir el código en el panel Reveton que se mostraba en la pantalla. Este dinero entraba en una cuenta MoneyPak gestionada por Qaiser, que luego depositaba los pagos de los vales en la cuenta de tarjeta de débito de su co-conspirador estadounidense, Raymond Odigie Uadiale. Uadiale fue estudiante en la Universidad Internacional de Florida durante 2012 y 2013 y más tarde trabajó para Microsoft. Uadiale convertía el dinero en la moneda digital Liberty Reserve y lo depositaba en la cuenta Liberty Reserve de Qaiser. ^[162]

En este caso, se produjo un gran avance en mayo de 2013, cuando las autoridades de varios países se apoderaron de los servidores de Liberty Reserve y obtuvieron acceso a todas sus transacciones e historial de cuentas. Qaiser estaba ejecutando máquinas virtuales cifradas en su Macbook Pro con sistemas operativos Mac y Windows. ^[163] No pudo ser juzgado antes porque fue internado (internado involuntariamente) en virtud de la Ley de Salud Mental del Reino Unido de 1983 en el Hospital Goodmayes , donde se descubrió que estaba utilizando el wifi del hospital para acceder a sus sitios de publicidad. Su abogado afirmó que Qaiser había sufrido una enfermedad mental. ^[160] La policía rusa arrestó a 50 miembros de la banda de malware Lurk en junio de 2016. ^[164] Uadiale, un ciudadano estadounidense naturalizado de ascendencia nigeriana, fue encarcelado durante 18 meses. ^[165]

Desafíos a la libertad de expresión y sanciones penales

La publicación de código de ataque de prueba de concepto es común entre investigadores académicos y de vulnerabilidades. Enseña la naturaleza de la amenaza, transmite la gravedad de los problemas y permite diseñar e implementar contramedidas. Sin embargo, los legisladores, con el apoyo de los organismos encargados de hacer cumplir la ley, están contemplando la posibilidad de ilegalizar la creación de ransomware. En el estado de Maryland, el borrador original de la HB 340 tipificaba como delito grave la creación de ransomware, punible con hasta 10 años de prisión. ^[166] Sin embargo, esta disposición se eliminó de la versión final del proyecto de ley. ^{[ cita requerida ]} Un menor en Japón fue arrestado por crear y distribuir código de ransomware. ^[167] Young y Yung tienen el código fuente ANSI C de un criptotroyano ransomware en línea, en cryptovirology.com, desde 2005 como parte de un libro de criptovirología que se está escribiendo. El código fuente del criptotroyano todavía está disponible en Internet y está asociado a un borrador del Capítulo 2. ^[168]

Véase también

• Ataque de ransomware al oleoducto Colonial Pipeline  : ataque de ransomware al sistema de oleoductos estadounidense
• BlueKeep (vulnerabilidad de seguridad)  : agujero de seguridad de WindowsPáginas que muestran descripciones breves de los objetivos de redireccionamiento
• Política arriesgada  : táctica política y militar
• Hitler-Ransomware  : una forma de ransomware
• Jigsaw (ransomware)  : ransomware de cifrado creado en 2016
• Solo anexión  : propiedad del almacenamiento de datos informáticos
• Riskware  : software que representa un riesgo para un equipo host
• Ryuk (ransomware)  : tipo de ransomware
• Ingeniería de confiabilidad  : subdisciplina de la ingeniería de sistemas que enfatiza la confiabilidad.
• Espacio de aire (redes)  : medida de seguridad de la red
• Redundancia de datos  : presencia de datos adicionales a los datos reales que pueden permitir la corrección de errores en los datos almacenados o transmitidos.Páginas que muestran descripciones de wikidata como alternativa
• Tolerancia a fallos  : resiliencia de los sistemas ante fallos o errores de los componentes.
• Confiabilidad (redes informáticas)  : capacidad de reconocimiento de protocolo
• Red unidireccional  : dispositivo de red que permite el flujo de datos en una sola dirección.
• Sistema informático tolerante a fallos  : resiliencia de los sistemas ante fallos o errores de los componentes.Páginas que muestran descripciones breves de los objetivos de redireccionamiento
• Falla bizantina  : Falla en un sistema informático que presenta diferentes síntomas para diferentes observadores.
• Acuerdo Bizantino Cuántico  – Versión cuántica del protocolo del acuerdo bizantino
• El problema de los dos generales  : experimento mental
• El equipo de caza de ransomware  : libro de no ficción de 2022 de Renee Dudley y Daniel Golden
• Broker de acceso inicial  : un hacker que vende acceso a computadoras pirateadas

Referencias

1. Young, A.; M. Yung (1996). Criptovirología: amenazas a la seguridad basadas en la extorsión y contramedidas . Simposio IEEE sobre seguridad y privacidad. págs. 129-140. doi :10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
2. Schofield, Jack (28 de julio de 2016). "¿Cómo puedo eliminar una infección de ransomware?". The Guardian . Consultado el 28 de julio de 2016 .
3. Mimoso, Michael (28 de marzo de 2016). "Cifrado de la tabla maestra de archivos del ransomware Petya". threatpost.com . Consultado el 28 de julio de 2016 .
4. Justin Luna (21 de septiembre de 2016). «El ransomware Mamba encripta el disco duro y manipula el proceso de arranque». Newlin . Consultado el 5 de noviembre de 2016 .
5. Min, Donghyun; Ko, Yungwoo; Walker, Ryan; Lee, Junghee; Kim, Youngjae (julio de 2022). "Un disco de estado sólido de detección y respaldo de ransomware basado en contenido para defensa contra ransomware". Transacciones IEEE sobre diseño asistido por computadora de circuitos y sistemas integrados . 41 (7): 2038–2051. doi :10.1109/TCAD.2021.3099084. ISSN  0278-0070. S2CID  237683171.
6. Cameron, Dell (13 de mayo de 2017). "El ataque masivo de ransomware de hoy era en su mayor parte prevenible; aquí se explica cómo evitarlo". Gizmodo . Consultado el 13 de mayo de 2017 .
7. Dunn, John E. "Los troyanos extorsionadores se están extendiendo más allá del corazón de Rusia". TechWorld. Archivado desde el original el 2 de julio de 2014. Consultado el 10 de marzo de 2012 .
8. "Nueva estafa en Internet: Ransomware..." FBI. 9 de agosto de 2012.
9. "El malware Citadel continúa distribuyendo el ransomware Reveton..." Centro de denuncias de delitos en Internet (IC3). 30 de noviembre de 2012.
10. "El ransomware vuelve con fuerza: 181,5 millones de ataques desde enero". Help Net Security . 11 de julio de 2018 . Consultado el 20 de octubre de 2018 .
11. "Actualización: McAfee: los cibercriminales son los que más utilizan malware y ransomware para Android". InfoWorld . 3 de junio de 2013 . Consultado el 16 de septiembre de 2013 .
12. "Las víctimas de Cryptolocker recuperarán sus archivos de forma gratuita". BBC News. 6 de agosto de 2014. Consultado el 18 de agosto de 2014 .
13. "El FBI afirma que el ransomware criptográfico ha recaudado más de 18 millones de dólares para los cibercriminales". Ars Technica . 25 de junio de 2015 . Consultado el 25 de junio de 2015 .
14. "Informe sobre delitos en Internet 2020" (PDF) . Ic3.gov . Consultado el 1 de marzo de 2022 .
15. "Número de ataques de ransomware por año 2022". Statista . Consultado el 4 de junio de 2023 .
16. Young, Adam L.; Yung, Moti (2017). "Criptovirología: el nacimiento, el abandono y la explosión del ransomware". Comunicaciones de la ACM . 60 (7): 24–26. doi :10.1145/3097347. S2CID  232783395 . Consultado el 27 de junio de 2017 .
17. "Ransomware presiona a los usuarios con una falsa solicitud de activación de Windows". Computerworld . 11 de abril de 2011. Archivado desde el original el 3 de julio de 2014 . Consultado el 9 de marzo de 2012 .
18. "La policía advierte de mensajes de extorsión enviados en su nombre". Helsingin Sanomat . Consultado el 9 de marzo de 2012 .
19. McMillian, Robert (31 de agosto de 2010). "La policía de Moscú investiga a una supuesta banda de ransomware". PC World . Archivado desde el original el 4 de noviembre de 2010. Consultado el 10 de marzo de 2012 .
20. "Ransomware: aviso falso de la policía federal alemana (BKA)". SecureList (Kaspersky Lab) . Consultado el 10 de marzo de 2012 .
21. "Y ahora, un ransomware MBR". SecureList (Kaspersky Lab) . Consultado el 10 de marzo de 2012 .
22. Adam Young (2005). Zhou, Jianying; Lopez, Javier (eds.). "Building a Cryptovirus Using Microsoft's Cryptographic API". Seguridad de la información: 8.ª conferencia internacional, ISC 2005. Springer -Verlag . págs. 389–401.
23. Young, Adam (2006). "Extorsión criptoviral mediante la API criptográfica de Microsoft: ¿pueden las API criptográficas ayudar al enemigo?". Revista internacional de seguridad de la información . 5 (2): 67–76. doi :10.1007/s10207-006-0082-7. S2CID  12990192.
24. Danchev, Dancho (22 de abril de 2009). «Nuevo ransomware bloquea PCs y exige SMS premium para su eliminación». ZDNet . Archivado desde el original el 26 de abril de 2009. Consultado el 2 de mayo de 2009 .
25. "Ransomware juega con la carta pirata de Windows y exige 143 dólares". Computerworld . 6 de septiembre de 2011. Archivado desde el original el 3 de julio de 2014 . Consultado el 9 de marzo de 2012 .
26. Cheng, Jacqui (18 de julio de 2007). "Nuevos troyanos: ¡danos 300 dólares o los datos se los comerán!". Ars Technica . Consultado el 16 de abril de 2009 .
27. "Estás infectado. Si quieres volver a ver tus datos, páganos 300 $ en bitcoins". Ars Technica . 17 de octubre de 2013 . Consultado el 23 de octubre de 2013 .
28. "El ransomware CryptoDefense deja accesible la clave de descifrado". Computerworld . IDG. Abril de 2014. Archivado desde el original el 3 de julio de 2014 . Consultado el 7 de abril de 2014 .
29. "¿Qué hacer si un ransomware ataca su computadora con Windows?". Techie Motto . Archivado desde el original el 23 de mayo de 2016. Consultado el 25 de abril de 2016 .
30. Adam, Sally (12 de mayo de 2020). "El estado del ransomware en 2020". Sophos News . Consultado el 18 de septiembre de 2020 .
31. Kassner, Michael. "Ransomware: extorsión a través de Internet". TechRepublic . Consultado el 10 de marzo de 2012 .
32. Sebastiaan von Solms; David Naccache (1992). "Sobre firmas ciegas y crímenes perfectos" (PDF) . Computers & Security . 11 (6): 581–583. doi :10.1016/0167-4048(92)90193-U. S2CID  23153906. Archivado desde el original (PDF) el 26 de octubre de 2017 . Consultado el 25 de octubre de 2017 .
33. Schaibly, Susan (26 de septiembre de 2005). "Files for ransom" (Archivos de rescate). Network World . Consultado el 17 de abril de 2009 .
34. Leyden, John (24 de julio de 2006). "El ransomware es cada vez más difícil de descifrar". The Register . Consultado el 18 de abril de 2009 .
35. Naraine, Ryan (6 de junio de 2008). «El ransomware Blackmail regresa con una clave de cifrado de 1024 bits». ZDNet . Archivado desde el original el 3 de agosto de 2008. Consultado el 3 de mayo de 2009 .
36. Lemos, Robert (13 de junio de 2008). "Ransomware resiste los intentos de descifrado de cifrado". SecurityFocus . Consultado el 18 de abril de 2009 .
37. Krebs, Brian (9 de junio de 2008). «Ransomware cifra los archivos de las víctimas con una clave de 1.024 bits». The Washington Post . Archivado desde el original el 5 de febrero de 2013. Consultado el 16 de abril de 2009 .
38. "Kaspersky Lab informa de un nuevo y peligroso virus chantajista". Kaspersky Lab . 5 de junio de 2008 . Consultado el 11 de junio de 2008 .
39. Violet Blue (22 de diciembre de 2013). "La ola delictiva de CryptoLocker: un rastro de millones en bitcoins blanqueados". ZDNet . Consultado el 23 de diciembre de 2013 .
40. "Se ha corregido un error de cifrado en el malware de bloqueo de archivos TorrentLocker". PC World . 17 de septiembre de 2014 . Consultado el 15 de octubre de 2014 .
41. "Cryptolocker 2.0: ¿nueva versión o copia?". WeLiveSecurity . ESET. 19 de diciembre de 2013 . Consultado el 18 de enero de 2014 .
42. "El nuevo CryptoLocker se propaga a través de unidades extraíbles". Trend Micro. 26 de diciembre de 2013. Archivado desde el original el 4 de noviembre de 2016. Consultado el 18 de enero de 2014 .
43. "Los piratas informáticos atacan a los dispositivos NAS de Synology y exigen un rescate en Bitcoin para descifrar archivos". ExtremeTech . Ziff Davis Media. Archivado desde el original el 19 de agosto de 2014 . Consultado el 18 de agosto de 2014 .
44. "Un ransomware que cifra archivos comienza a atacar servidores web Linux". PC World . IDG. 9 de noviembre de 2015 . Consultado el 31 de mayo de 2016 .
45. "Los cibercriminales cifran bases de datos de sitios web en ataques "RansomWeb"". SecurityWeek . Archivado desde el original el 20 de abril de 2017 . Consultado el 31 de mayo de 2016 .
46. "Los piratas informáticos secuestran sitios web modificando sus claves de cifrado". The Guardian . Consultado el 31 de mayo de 2016 .
47. Burgess, Matt. "El ataque de Conti contra Costa Rica desencadena una nueva era de ransomware". Wired . ISSN  1059-1028 . Consultado el 11 de julio de 2024 .
48. "El presidente Rodrigo Chaves dice que Costa Rica está en guerra con los hackers de Conti". 18 de mayo de 2022. Consultado el 11 de julio de 2024 .
49. "El nuevo .LNK entre el spam y la infección Locky". Blogs.technet.microsoft.com . 19 de octubre de 2016 . Consultado el 25 de octubre de 2017 .
50. Muncaster, Phil (13 de abril de 2016). "Se detectaron vulnerabilidades de PowerShell en más de un tercio de los ataques".
51. "Un nuevo ransomware utiliza Tor para permanecer oculto a la seguridad". The Guardian . Consultado el 31 de mayo de 2016 .
52. "El estado actual del ransomware: CTB-Locker". Blog de Sophos . Sophos. 31 de diciembre de 2015. Consultado el 31 de mayo de 2016 .
53. Brook, Chris (4 de junio de 2015). "El autor del ransomware Tox renuncia y vende su plataforma" . Consultado el 6 de agosto de 2015 .
54. Dela Paz, Roland (29 de julio de 2015). «Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block». Archivado desde el original el 2 de agosto de 2015. Consultado el 6 de agosto de 2015 .
55. "Symantec clasifica el ransomware como la amenaza cibernética más peligrosa - Tech2". 22 de septiembre de 2016. Archivado desde el original el 25 de abril de 2017. Consultado el 22 de septiembre de 2016 .
56. Leyden, John. "La policía rusa aprieta a 10 sospechosos de ser portadores de un troyano ransomware". The Register . Consultado el 10 de marzo de 2012 .
57. O'Gorman, G.; McDonald, G. (2012), Ransomware: una amenaza creciente (PDF) , Symantec Security Response, Symantec Corporation , consultado el 5 de octubre de 2019
58. "Los delincuentes difunden ransomware alojado en páginas de GitHub y SourceForge mediante el envío de spam de 'fotos falsas de desnudos' de celebridades". TheNextWeb . 7 de febrero de 2013 . Consultado el 17 de julio de 2013 .
59. "Un nuevo malware de OS X retiene a los Macs y exige una multa de 300 dólares al FBI por 'ver o distribuir' pornografía". TheNextWeb . 15 de julio de 2013 . Consultado el 17 de julio de 2013 .
60. "Un hombre recibe una ventana emergente con pornografía de ransomware, acude a la policía y es arrestado por cargos de pornografía infantil". Ars Technica . 26 de julio de 2013 . Consultado el 31 de julio de 2013 .
61. Young, A. (2003). Juegos de suma no nula y malware superviviente . Taller sobre seguridad de la información de la IEEE Systems, Man and Cybernetics Society. págs. 24–29.
62. A. Young, M. Yung (2004). Criptografía maliciosa: exposición de la criptovirología . Wiley. ISBN 978-0-7645-4975-5.
63. Arntz, Pieter (10 de julio de 2020). «Amenaza destacada: WastedLocker, ransomware personalizado». Malwarebytes Labs . Consultado el 27 de julio de 2020 .
64. Ricker, Thomas (27 de julio de 2020). «Garmin confirma un ciberataque cuando los sistemas de seguimiento de la actividad física vuelven a estar en línea». The Verge . Consultado el 27 de julio de 2020 .
65. "Ransomware en dispositivos móviles: knock-knock-block". Kaspersky Lab . 29 de junio de 2016. Consultado el 6 de diciembre de 2016 .
66. "Tu teléfono Android vio pornografía ilegal. Para desbloquearlo, paga una multa de $300". Ars Technica . 6 de mayo de 2014 . Consultado el 9 de abril de 2017 .
67. "Nuevo ransomware para Android utiliza clickjacking para obtener privilegios de administrador". PC World . 27 de enero de 2016 . Consultado el 9 de abril de 2017 .
68. "A continuación, se explica cómo superar el ransomware recién descubierto en iPhone". Fortune . Consultado el 9 de abril de 2017 .
69. "Los estafadores de ransomware aprovecharon un error de Safari para extorsionar a los usuarios de iOS que veían pornografía". Ars Technica . 28 de marzo de 2017 . Consultado el 9 de abril de 2017 .
70. Al-Hawawreh, Muna; den Hartog, Frank; Sitnikova, Elena (2019). "Ransomware dirigido: una nueva amenaza cibernética para el sistema perimetral de la Internet industrial de las cosas en desuso". Revista IEEE sobre Internet de las cosas . 6 (4): 7137–7151. doi :10.1109/JIOT.2019.2914390. S2CID  155469264.
71. Palmer, Danny. "Así es como el ransomware podría infectar su cámara digital". ZDNet . Consultado el 13 de agosto de 2019 .
72. Robeznieks, A. (2017). "El ransomware convierte la ciberseguridad en el ámbito sanitario en un problema de atención al paciente". Healthcare Business News . Healthcare Financial Management Association. Archivado desde el original el 16 de junio de 2017.
73. Heater, Brian (13 de abril de 2016), "La creciente amenaza del ransomware" (PDF) , PC Magazine , consultado el 5 de octubre de 2019
74. "La actividad comienza a disminuir, pero sigue siendo un desafío para las organizaciones", Internet Security Threat Report (ISTR) 2019 , vol. 24, Symantec Corporation, p. 16, 2019 , consultado el 5 de octubre de 2019
75. Dudley, Renee (17 de julio de 2023). "¿Quiénes son las bandas de ransomware que están causando estragos en las empresas más grandes del mundo?". The Guardian .
76. Se reporta la primera muerte tras un ataque de ransomware en un hospital alemán, ZDNet , consultado el 5 de octubre de 2020
77. Beaman, Craig; Barkworth, Ashley; Akande, Toluwalope David; Hakak, Saqib; Khan, Muhammad Khurram (1 de diciembre de 2021). "Ransomware: avances recientes, análisis, desafíos y futuras direcciones de investigación". Computers & Security . 111 : 102490. doi :10.1016/j.cose.2021.102490. ISSN  0167-4048. PMC 8463105 . PMID  34602684. 
78. "Los Gardaí advierten de un virus 'troyano policial' que bloquea los ordenadores". TheJournal.ie . 15 de junio de 2012 . Consultado el 31 de mayo de 2016 .
79. "Un experto informático de Barrie observa un aumento de los efectos del nuevo ransomware". Barrie Examiner . Postmedia Network . Consultado el 31 de mayo de 2016 .
80. "Un troyano falso que "detecta material ofensivo" en los ordenadores y exige dinero". The Register . Consultado el 15 de agosto de 2012 .
81. "El malware Reveton congela las PC y exige un pago". InformationWeek . Consultado el 16 de agosto de 2012 .
82. Dunn, John E. "Alerta policial tras un troyano ransomware que bloquea 1.100 PC". TechWorld. Archivado desde el original el 2 de julio de 2014. Consultado el 16 de agosto de 2012 .
83. Constantian, Lucian (9 de mayo de 2012). "Ransomware con temática policial comienza a atacar a usuarios estadounidenses y canadienses". PC World . Consultado el 11 de mayo de 2012 .
84. "El líder de la banda de malware Reveton 'que pide rescate a la policía' fue arrestado en Dubai". TechWorld . Archivado desde el original el 14 de diciembre de 2014 . Consultado el 18 de octubre de 2014 .
85. "El ransomware 'Reveton' se actualiza con un poderoso ladrón de contraseñas". PC World . 19 de agosto de 2014 . Consultado el 18 de octubre de 2014 .
86. "El malware Cryptolocker que cifra discos exige 300 dólares para descifrar tus archivos". Geek.com . 11 de septiembre de 2013. Archivado desde el original el 4 de noviembre de 2016 . Consultado el 12 de septiembre de 2013 .
87. Ferguson, Donna (19 de octubre de 2013). "Ataques de CryptoLocker que obligan a su computadora a pagar un rescate". The Guardian . Consultado el 23 de octubre de 2013 .
88. "El malware destructivo "CryptoLocker" anda suelto: esto es lo que hay que hacer". Naked Security . Sophos. 12 de octubre de 2013 . Consultado el 23 de octubre de 2013 .
89. "Los delincuentes de CryptoLocker cobran 10 bitcoins por un servicio de descifrado de segunda oportunidad". NetworkWorld . 4 de noviembre de 2013. Archivado desde el original el 5 de noviembre de 2013 . Consultado el 5 de noviembre de 2013 .
90. "Los creadores de CryptoLocker intentan extorsionar aún más dinero a las víctimas con un nuevo servicio". PC World . 4 de noviembre de 2013 . Consultado el 5 de noviembre de 2013 .
91. "Wham bam: Global Operation Tovar ataca al ransomware CryptoLocker y a la botnet GameOver Zeus". Computerworld . IDG. Archivado desde el original el 3 de julio de 2014 . Consultado el 18 de agosto de 2014 .
92. "Estados Unidos lidera una acción multinacional contra la botnet "Gameover Zeus" y el ransomware "Cryptolocker", acusa al administrador de la botnet". Justice.gov . Departamento de Justicia de Estados Unidos . Consultado el 18 de agosto de 2014 .
93. "Los australianos se ven cada vez más afectados por la ola global de malware criptográfico". Symantec . Consultado el 15 de octubre de 2014 .
94. Grubb, Ben (17 de septiembre de 2014). "Los piratas informáticos bloquean miles de computadoras australianas y exigen un rescate". Sydney Morning Herald . Consultado el 15 de octubre de 2014 .
95. "Australia en la mira de Cryptolocker: Symantec". ARNnet . 3 de octubre de 2014 . Consultado el 15 de octubre de 2014 .
96. "Los estafadores utilizan Australia Post para enmascarar ataques por correo electrónico". Sydney Morning Herald . 15 de octubre de 2014 . Consultado el 15 de octubre de 2014 .
97. Steve Ragan (7 de octubre de 2014). «Ataque de ransomware deja fuera del aire a una estación de TV». CSO . Archivado desde el original el 12 de octubre de 2016 . Consultado el 15 de octubre de 2014 .
98. "Más de 9000 PC en Australia infectadas por el ransomware TorrentLocker". CSO.com.au . 17 de diciembre de 2014 . Consultado el 18 de diciembre de 2014 .
99. "Una campaña de publicidad maliciosa distribuye el ransomware CryptoWall firmado digitalmente". PC World . 29 de septiembre de 2014 . Consultado el 25 de junio de 2015 .
100. "El ransomware CryptoWall 3.0 se asocia con el software espía FAREIT". Trend Micro. 20 de marzo de 2015. Consultado el 25 de junio de 2015 .
101. Andra Zaharia (5 de noviembre de 2015). «Alerta de seguridad: CryptoWall 4.0: nuevo, mejorado y más difícil de detectar». HEIMDAL . Consultado el 5 de enero de 2016 .
102. "Ransomware en dispositivos móviles: toc-toc-bloque". Kaspersky Lab . 29 de junio de 2016. Consultado el 4 de diciembre de 2016 .
103. "La evolución del ransomware móvil". Avast . Consultado el 4 de diciembre de 2016 .
104. "El uso de ransomware móvil aumenta y bloquea el acceso a los teléfonos". PCWorld . IDG Consumer & SMB. 30 de junio de 2016 . Consultado el 4 de diciembre de 2016 .
105. "Ciberataque: Europol afirma que fue de una escala sin precedentes". BBC News . 13 de mayo de 2017 . Consultado el 13 de mayo de 2017 .
106. "Un ciberataque 'sin precedentes' afecta a 200.000 personas en al menos 150 países y la amenaza está aumentando". CNBC. 14 de mayo de 2017. Archivado desde el original el 15 de mayo de 2017. Consultado el 16 de mayo de 2017 .
107. "La verdadera víctima del ransomware: la tienda de la esquina". CNET . Consultado el 22 de mayo de 2017 .
108. Marsh, Sarah (12 de mayo de 2017). «Los fideicomisos del NHS afectados por malware: lista completa». The Guardian . Consultado el 12 de mayo de 2017 .
109. "Honda detiene su planta de automóviles en Japón después de que el virus WannaCry atacara la red informática". Reuters . 21 de junio de 2017 . Consultado el 21 de junio de 2017 .
110. "Lo último: el Ministerio del Interior ruso sufre un ciberataque". WTHR .
111. Scott, Paul Mozur, Mark; Goel, Vindu (19 de mayo de 2017). "Las víctimas delatan el engaño de los piratas informáticos a medida que se acerca la fecha límite para el ransomware". The New York Times . ISSN  0362-4331 . Consultado el 22 de mayo de 2017 .{{cite news}}: CS1 maint: varios nombres: lista de autores ( enlace )
112. Constantin, Lucian. "El ransomware Petya ahora es el doble de problemático". NetworkWorld . Consultado el 27 de junio de 2017 .
113. "Estadísticas de ransomware para 2018 | Safety Detective". Safety Detective . 23 de octubre de 2018 . Consultado el 20 de noviembre de 2018 .
114. "El brote masivo de ransomware del martes fue, de hecho, algo mucho peor". Ars Technica . 28 de junio de 2017 . Consultado el 28 de junio de 2017 .
115. "El ciberataque tenía que ver con datos y no con dinero, dicen los expertos". BBC News . 29 de junio de 2017 . Consultado el 29 de junio de 2017 .
116. "El ransomware 'Bad Rabbit' ataca a Ucrania y Rusia". BBC . 24 de octubre de 2017 . Consultado el 24 de octubre de 2017 .
117. Hern, Alex (25 de octubre de 2017). "Bad Rabbit: un ransomware que hace referencia a Juego de Tronos llega a Europa". Theguardian.com . Consultado el 25 de octubre de 2017 .
118. Larson, Selena (25 de octubre de 2017). «Nuevo ataque de ransomware afecta a Rusia y se propaga por todo el mundo». CNN . Consultado el 25 de octubre de 2017 .
119. "BadRabbit: una mirada más cercana a la nueva versión de Petya/NotPetya". Malwarebytes Labs . 24 de octubre de 2017 . Consultado el 31 de julio de 2019 .
120. Palmer, Danny. "Bad Rabbit: diez cosas que debes saber sobre el último brote de ransomware". ZDNet . Consultado el 31 de julio de 2019 .
121. Cameron, Dell (24 de octubre de 2017). «El ransomware «Bad Rabbit» ataca a Rusia y Ucrania». Gizmodo . Consultado el 24 de octubre de 2017 .
122. Palmer, Danny (24 de octubre de 2017). «Ransomware Bad Rabbit: una nueva variante de Petya se está propagando, advierten los investigadores». ZDNet . Consultado el 24 de octubre de 2017 .
123. Rashid, Fahmida Y. (19 de abril de 2016). "Parchee JBoss ahora para evitar ataques de ransomware SamSam". InfoWorld . IDG . Consultado el 23 de julio de 2018 .
124. Crowe, Jonathan (marzo de 2018). "City of Atlanta Hit with SamSam Ransomware: 5 Key Things to Know" (La ciudad de Atlanta atacada por el ransomware SamSam: cinco cosas importantes que debe saber). Barkley vs Malware . Barkley Protects, Inc. Archivado desde el original el 18 de julio de 2018. Consultado el 18 de julio de 2018 .
125. Oficina Federal de Investigaciones , Buscados por el FBI: sujetos de SamSam (PDF) , Departamento de Justicia de los Estados Unidos , consultado el 5 de octubre de 2019
126. "Dos hombres iraníes acusados ​​de utilizar ransomware para extorsionar a hospitales, municipios e instituciones públicas, lo que provocó pérdidas por más de 30 millones de dólares" (Comunicado de prensa). Departamento de Justicia de los Estados Unidos. 28 de noviembre de 2018. Consultado el 11 de diciembre de 2018 .
127. Whittaker, Zack. "Hablamos con estafadores de soporte técnico de Windows. Esta es la razón por la que no debería hacerlo". ZDNet . Consultado el 6 de noviembre de 2019 .
128. "Windows 10 Fall Creators Update: se ha eliminado la compatibilidad con syskey.exe". gHacks . 26 de junio de 2017 . Consultado el 6 de noviembre de 2019 .
129. "La utilidad Syskey.exe ya no es compatible con Windows 10, Windows Server 2016 y Windows Server 2019". Microsoft . Consultado el 6 de noviembre de 2019 .
130. "El grupo de ransomware ruso 'REvil' desaparece tras atacar a empresas estadounidenses". The Independent . 13 de julio de 2021.
131. "Una prolífica banda de ransomware desaparece repentinamente de Internet. El momento es digno de mención". NBC News . 14 de julio de 2021.
132. "McAfee ATR analiza el ransomware como servicio Sodinokibi, también conocido como REvil: las estrellas". 2 de octubre de 2019.
133. "Biden le dice a Putin que Rusia debe tomar medidas enérgicas contra los cibercriminales". AP NEWS . 9 de julio de 2021.
134. Sanger, David E. (13 de julio de 2021). «El grupo de ransomware más agresivo de Rusia desapareció. No está claro quién lo desactivó». The New York Times . Archivado desde el original el 28 de diciembre de 2021.
135. Brian Fung; Zachary Cohen; Geneva Sands (13 de julio de 2021). "La banda de ransomware que atacó a un proveedor de carne desaparece misteriosamente de Internet". CNN Business .
136. Cannell, Joshua (8 de octubre de 2013). «Cryptolocker Ransomware: What You Need To Know, última actualización 06/02/2014». Malwarebytes Unpacked . Archivado desde el original el 30 de septiembre de 2021. Consultado el 19 de octubre de 2013 .
137. Leyden, Josh. "El diabólico ransomware CryptoLocker: hagas lo que hagas, no PAGUES". The Register . Archivado desde el original el 13 de agosto de 2021. Consultado el 18 de octubre de 2013 .
138. "Las infecciones de Cryptolocker van en aumento; US-CERT emite una advertencia". SecurityWeek . 19 de noviembre de 2013. Archivado desde el original el 27 de mayo de 2021 . Consultado el 18 de enero de 2014 .
139. Metin, Ozer. "Aplicación de la reducción de la superficie de ataque". Comodo Cybersecurity . Archivado desde el original el 5 de octubre de 2021. Consultado el 27 de agosto de 2020 .
140. "Descripción general de las capacidades de reducción de la superficie de ataque". Microsoft . Archivado desde el original el 18 de noviembre de 2021 . Consultado el 6 de febrero de 2020 .
141. "La "virtualización de API de kernel" patentada por Comodo: bajo el capó". Comodo Cybersecurity . Archivado desde el original el 4 de octubre de 2021 . Consultado el 27 de agosto de 2020 .
142. "El brote de ransomware 'Petya' se vuelve global". krebsonsecurity.com . Krebs on Security. 28 de junio de 2017 . Consultado el 29 de junio de 2017 .
143. "Cómo protegerse del malware Petya". CNET . Consultado el 29 de junio de 2017 .
144. "Ataque de ransomware Petya: qué debe hacer para que su seguridad no se vea comprometida". The Economic Times . 29 de junio de 2017 . Consultado el 29 de junio de 2017 .
145. "Se propaga el nuevo ataque del ransomware 'Petya': qué hacer". Guía de Tom. 27 de junio de 2017. Consultado el 29 de junio de 2017 .
146. "India, la más afectada por Petya en Asia Pacífico y la séptima a nivel mundial: Symantec". The Economic Times . 29 de junio de 2017 . Consultado el 29 de junio de 2017 .
147. "TRA emite consejos para protegerse contra el último ransomware Petya | The National". 29 de junio de 2017. Consultado el 29 de junio de 2017 .
148. "El ransomware Petya se propaga a través del exploit EternalBlue « Blog de investigación de amenazas". FireEye. Archivado desde el original el 13 de febrero de 2021. Consultado el 29 de junio de 2017 .
149. Chang, Yao-Chung (2012). Delito cibernético en la región de la Gran China: respuestas regulatorias y prevención del delito en el Estrecho de Taiwán. Edward Elgar Publishing. ISBN 9780857936684. Recuperado el 30 de junio de 2017 .
150. "Control de infecciones para sus equipos: protección contra el delito cibernético - Blog de gestión de consultorios médicos de cabecera". Blog de gestión de consultorios médicos de cabecera . 18 de mayo de 2017. Consultado el 30 de junio de 2017 .
151. Piper, DLA (2021). "La Agencia de Seguridad de Infraestructura y Ciberseguridad publica una guía sobre ransomware". Revista de Derecho de Internet . 25 (1): 1–17 . Consultado el 3 de diciembre de 2023 .
152. "Cómo activar la protección contra ransomware en Windows 10". WindowsLoop . 8 de mayo de 2018 . Consultado el 19 de diciembre de 2018 .
153. "Cómo derrotar los ataques de CryptoLocker con ZFS". ixsystems.com . 27 de agosto de 2015.
154. "Lista de herramientas gratuitas para descifrar ransomware y desbloquear archivos". Thewindowsclub.com . Consultado el 28 de julio de 2016 .
155. "Emsisoft Decrypter para HydraCrypt y UmbreCrypt Ransomware". Thewindowsclub.com . 17 de febrero de 2016 . Consultado el 28 de julio de 2016 .
156. "Herramientas de eliminación de ransomware" . Consultado el 19 de septiembre de 2017 .
157. Renee Dudley; Jeff Kao (15 de mayo de 2019). "Las empresas que se dedican a proteger secretos comerciales y que prometieron soluciones de ransomware de alta tecnología casi siempre pagan a los piratas informáticos".
158. "Acerca del proyecto - El proyecto No More Ransom". Archivado desde el original el 22 de noviembre de 2021 . Consultado el 3 de diciembre de 2021 .
159. "Crypto Sheriff - El proyecto No More Ransom". Archivado desde el original el 26 de octubre de 2021 . Consultado el 3 de diciembre de 2021 .
160. "Zain Qaiser: estudiante encarcelado por chantajear a usuarios de pornografía en todo el mundo". BBC News . 9 de abril de 2019.
161. "El hacker británico Zain Qaiser condenado por chantajear a millones de personas". 9 de abril de 2019.
162. Cimpanu, Catalin. "El distribuidor del ransomware Reveton fue sentenciado a seis años de prisión en el Reino Unido". ZDNet .
163. "Cómo la policía atrapó al barón del ransomware pornográfico más notorio del Reino Unido", Matt Burgess, Wired , 12 de abril de 2019]
164. "Angler by Lurk: Por qué el infame grupo cibercriminal que robó millones estaba alquilando su herramienta más poderosa". usa.kaspersky.com . 26 de mayo de 2021.
165. Nichols, Shaun (15 de agosto de 2018). "Un hombre de Florida lavó dinero para el ransomware Reveton. Luego, Microsoft lo contrató en San Francisco". Theregister.com .
166. Fields, Logan M. (25 de febrero de 2017). "The Minority Report – Semana 7 – El punto medio". Noticias del mundo.
167. Wei, Wang (6 de junio de 2017). "Arrestan a un niño japonés de 14 años por crear ransomware". The Hacker News.
168. Young, Adam L.; Yung, Moti (2005). "Una implementación de la extorsión criptoviral utilizando la API criptográfica de Microsoft" (PDF) . Laboratorios de criptovirología. Archivado desde el original (PDF) el 24 de junio de 2016 . Consultado el 16 de agosto de 2017 .

Lectura adicional

• Young, A.; Yung, M. (2004). Criptografía maliciosa: exposición de la criptovirología . Wiley. ISBN 978-0-7645-4975-5.
• Russinovich , Mark (7 de enero de 2013). "Cómo cazar y eliminar el ransomware". Microsoft TechNet . Microsoft.
• Simonite, Tom (4 de febrero de 2015). "Mantener datos como rehenes: ¿el delito perfecto en Internet? Ransomware (scareware)". MIT Technology Review . Archivado desde el original el 27 de noviembre de 2015. Consultado el 5 de febrero de 2015 .
• Brad, Duncan (2 de marzo de 2015). «Exploit Kits and CryptoWall 3.0». The Rackspace Blog! & NewsRoom. Archivado desde el original el 24 de septiembre de 2015. Consultado el 15 de abril de 2015 .
• "El ransomware está en aumento: el FBI y sus socios trabajan para combatir esta amenaza cibernética". NOTICIAS . Oficina Federal de Investigaciones. 20 de enero de 2015.
• Yang, T.; Yang, Y.; Qian, K.; Lo, DCT; Qian, L. y Tao, L. (2015). 2015 IEEE 17th International Conference on High Performance Computing and Communications, 2015 IEEE 7th International Symposium on Cyberspace Safety and Security, y 2015 IEEE 12th International Conference on Embedded Software and Systems . IEEE Internet of Things Journal, CONFERENCIA, AGOSTO DE 2015. págs. 1338–1343. doi :10.1109/HPCC-CSS-ICESS.2015.39. ISBN 978-1-4799-8937-9. Número de identificación del sujeto  5374328.
• Richet, Jean-Loup (julio de 2015). "Extorsión en Internet: el auge del ransomware criptográfico" (PDF) . Universidad de Harvard.
• Liska, Allan (20 de octubre de 2021). "Ransomware: comprender, prevenir y recuperar". Recorded Future . ActualTech Media.

Enlaces externos

• Medios relacionados con Ransomware en Wikimedia Commons
• Los incidentes de ransomware están en aumento, según la Oficina Federal de Investigaciones
• La economía de la extorsión / Las empresas estadounidenses y el ransomware

Eliminación de ransomware