El ransomware es un tipo de malware criptovirológico que bloquea permanentemente el acceso a los datos personales de la víctima a menos que se pague un rescate. Si bien algunos ransomware simples pueden bloquear el sistema sin dañar ningún archivo, el malware más avanzado utiliza una técnica llamada extorsión criptoviral. Cifra los archivos de la víctima, haciéndolos inaccesibles y exige un pago de rescate para descifrarlos. [1] [2] [3] [4] [5] En un ataque de extorsión criptoviral implementado correctamente, recuperar los archivos sin la clave de descifrado es un problema intratable , y las monedas digitales difíciles de rastrear como paysafecard o Bitcoin y otras Se utilizan criptomonedas para los rescates, lo que dificulta rastrear y procesar a los perpetradores.
Los ataques de ransomware generalmente se llevan a cabo utilizando un troyano disfrazado de un archivo legítimo que se engaña al usuario para que lo descargue o lo abra cuando llega como un archivo adjunto de correo electrónico. Sin embargo, un ejemplo de alto perfil, el gusano WannaCry , viajaba automáticamente entre computadoras sin interacción del usuario. [6]
A partir de 1989, con el primer ransomware documentado conocido como troyano SIDA , el uso de estafas de ransomware ha crecido a nivel internacional. [7] [8] [9] Hubo 181,5 millones de ataques de ransomware en los primeros seis meses de 2018. Este récord marca un aumento del 229 % con respecto a este mismo período de tiempo en 2017. [10] En junio de 2014, el proveedor McAfee publicó datos que muestran que había recopilado más del doble de muestras de ransomware ese trimestre que en el mismo trimestre del año anterior. [11] CryptoLocker fue particularmente exitoso, obteniendo aproximadamente 3 millones de dólares antes de que fuera retirado por las autoridades, [12] y la Oficina Federal de Investigaciones (FBI) de EE. UU. estimó que CryptoWall había acumulado más de 18 millones de dólares en junio de 2015. [13] En 2020, el IC3 recibió 2.474 quejas identificadas como ransomware con pérdidas ajustadas de más de 29,1 millones de dólares. Las pérdidas podrían ser mayores, según el FBI. [14] A nivel mundial, según Statistica , hubo alrededor de 623 millones de ataques de ransomware en 2021 y 493 millones en 2022. [15]
El concepto de ransomware de cifrado de archivos fue inventado e implementado por Young y Yung en la Universidad de Columbia y presentado en la conferencia IEEE Security & Privacy de 1996. Se llama extorsión criptoviral y se inspiró en el abrazacaras ficticio de la película Alien . [16] La extorsión criptoviral es el siguiente protocolo de tres rondas llevado a cabo entre el atacante y la víctima. [1]
La clave simétrica se genera aleatoriamente y no ayudará a otras víctimas. En ningún momento la clave privada del atacante queda expuesta a las víctimas y la víctima sólo necesita enviar un texto cifrado muy pequeño (la clave de cifrado simétrico cifrada) al atacante.
Los ataques de ransomware generalmente se llevan a cabo utilizando un troyano , ingresando a un sistema a través de, por ejemplo, un archivo adjunto malicioso, un enlace incrustado en un correo electrónico de phishing o una vulnerabilidad en un servicio de red. Luego, el programa ejecuta una carga útil , que bloquea el sistema de alguna manera, o afirma bloquear el sistema pero no lo hace (por ejemplo, un programa scareware ). Las cargas útiles pueden mostrar una advertencia falsa supuestamente emitida por una entidad como una agencia de aplicación de la ley , afirmando falsamente que el sistema se ha utilizado para actividades ilegales, contiene contenido como pornografía y medios "pirateados" . [17] [18] [19]
Algunas cargas útiles consisten simplemente en una aplicación diseñada para bloquear o restringir el sistema hasta que se realice el pago, generalmente configurando el Shell de Windows en sí mismo, [20] o incluso modificando el registro de inicio maestro y/o la tabla de particiones para evitar que el sistema operativo se inicie. hasta que sea reparado. [21] Las cargas útiles más sofisticadas cifran archivos, y muchas utilizan un cifrado fuerte para cifrar los archivos de la víctima de tal manera que solo el autor del malware tenga la clave de descifrado necesaria. [1] [22] [23]
El pago es prácticamente siempre el objetivo, y la víctima se ve obligada a pagar para eliminar el ransomware, ya sea proporcionando un programa que pueda descifrar los archivos o enviando un código de desbloqueo que deshaga los cambios de la carga útil. Si bien el atacante puede simplemente tomar el dinero sin devolver los archivos de la víctima, lo mejor para el atacante es realizar el descifrado según lo acordado, ya que las víctimas dejarán de enviar pagos si se sabe que no sirven para nada. Un elemento clave para que el ransomware funcione para el atacante es un sistema de pago conveniente y difícil de rastrear. Se han utilizado diversos métodos de pago, incluidas transferencias bancarias , mensajes de texto con tarifas especiales , [24] servicios de vales prepagos como paysafecard , [7] [25] [26] y la criptomoneda Bitcoin . [27] [28] [29]
En mayo de 2020, el proveedor Sophos informó que el costo promedio global para remediar un ataque de ransomware (teniendo en cuenta el tiempo de inactividad, el tiempo de las personas, el costo del dispositivo, el costo de la red, la oportunidad perdida y el rescate pagado) era de 761 106 dólares. El noventa y cinco por ciento de las organizaciones que pagaron el rescate recuperaron sus datos. [30]
El primer ataque de extorsión con malware conocido, el "troyano SIDA" escrito por Joseph Popp en 1989, tuvo un fallo de diseño tan grave que no fue necesario pagar nada al extorsionador. Su carga útil ocultó los archivos en el disco duro y cifró solo sus nombres , y mostró un mensaje que afirmaba que la licencia del usuario para usar un determinado software había caducado. Se pidió al usuario que pagara 189 dólares a "PC Cyborg Corporation" para obtener una herramienta de reparación, aunque la clave de descifrado se podía extraer del código del troyano. El troyano también se conocía como "PC Cyborg". Popp fue declarado mentalmente incapaz de ser juzgado por sus acciones, pero prometió donar las ganancias del malware para financiar la investigación del SIDA . [31]
La idea de abusar de los sistemas de efectivo anónimos para cobrar de forma segura el rescate por secuestros humanos fue introducida en 1992 por Sebastiaan von Solms y David Naccache . [32] Este método de recolección de dinero electrónico también se propuso para ataques de extorsión criptovirales. [1] En el escenario de von Solms-Naccache se utilizó una publicación de periódico (ya que los libros de contabilidad de bitcoin no existían en el momento en que se escribió el artículo).
La noción de utilizar criptografía de clave pública para ataques de secuestro de datos fue introducida en 1996 por Adam L. Young y Moti Yung . Young y Yung criticaron el fallido troyano de información sobre el SIDA que se basaba únicamente en criptografía simétrica , siendo el error fatal que la clave de descifrado podía extraerse del troyano, e implementaron un criptovirus experimental de prueba de concepto en un Macintosh SE/30 que usaba RSA. y el Tiny Encryption Algorithm (TEA) para cifrar de forma híbrida los datos de la víctima. Dado que se utiliza criptografía de clave pública , el virus sólo contiene la clave de cifrado . El atacante mantiene privada la clave de descifrado privada correspondiente . El criptovirus experimental original de Young y Yung hacía que la víctima enviara el texto cifrado asimétrico al atacante, quien lo descifra y devuelve la clave de descifrado simétrica que contiene a la víctima por una tarifa. Mucho antes de que existiera el dinero electrónico, Young y Yung propusieron que el dinero electrónico también podría ser extorsionado mediante encriptación, afirmando que "el autor del virus puede efectivamente retener todo el dinero del rescate hasta que se le entregue la mitad. Incluso si el dinero electrónico fuera previamente encriptado por el usuario, no le sirve de nada al usuario si es encriptado por un criptovirus". [1] Se refirieron a estos ataques como " extorsión criptoviral ", un ataque abierto que es parte de una clase más amplia de ataques en un campo llamado criptovirología , que abarca tanto ataques abiertos como encubiertos. [1] El protocolo de extorsión criptoviral se inspiró en la relación parasitaria entre el abrazador de caras de HR Giger y su anfitrión en la película Alien . [1] [16]
Los ejemplos de ransomware extorsivo se hicieron prominentes en mayo de 2005. [33] A mediados de 2006, troyanos como Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip y MayArchive comenzaron a utilizar esquemas de cifrado RSA más sofisticados, con claves cada vez mayores. -tallas. Gpcode.AG, que fue detectado en junio de 2006, estaba cifrado con una clave pública RSA de 660 bits. [34] En junio de 2008, se detectó una variante conocida como Gpcode.AK. Utilizando una clave RSA de 1024 bits, se creía que era lo suficientemente grande como para que fuera computacionalmente inviable romperla sin un esfuerzo distribuido concertado. [35] [36] [37] [38]
El cifrado de ransomware volvió a cobrar importancia a finales de 2013 con la propagación de CryptoLocker , que utiliza la plataforma de moneda digital Bitcoin para cobrar el dinero del rescate. En diciembre de 2013, ZDNet estimó, basándose en información sobre transacciones de Bitcoin, que entre el 15 de octubre y el 18 de diciembre, los operadores de CryptoLocker habían obtenido alrededor de 27 millones de dólares de usuarios infectados. [39] La técnica CryptoLocker fue ampliamente copiada en los meses siguientes, incluyendo CryptoLocker 2.0 (que se cree que no está relacionado con CryptoLocker), CryptoDefense (que inicialmente contenía un defecto de diseño importante que almacenaba la clave privada en el sistema infectado en un formato recuperable por el usuario). ubicación , debido a su uso de las API de cifrado integradas de Windows), [28] [40] [41] [42] y el descubrimiento en agosto de 2014 de un troyano dirigido específicamente a dispositivos de almacenamiento conectados a la red producidos por Synology . [43] En enero de 2015, se informó que se habían producido ataques de estilo ransomware contra sitios web individuales mediante piratería informática y mediante ransomware diseñado para atacar servidores web basados en Linux . [44] [45] [46]
En algunas infecciones, hay una carga útil de dos etapas, común en muchos sistemas de malware. Se engaña al usuario para que ejecute un script, que descarga el virus principal y lo ejecuta. En las primeras versiones del sistema de carga dual, el script estaba contenido en un documento de Microsoft Office con una macro VBScript adjunta o en un archivo de Windows scripting facility (WSF). A medida que los sistemas de detección comenzaron a bloquear estas cargas útiles de la primera etapa, el Centro de protección contra malware de Microsoft identificó una tendencia hacia los archivos LNK con scripts autónomos de Microsoft Windows PowerShell . [47] En 2016, se descubrió que PowerShell estaba involucrado en casi el 40 % de los incidentes de seguridad de terminales, [48]
Algunas cepas de ransomware han utilizado servidores proxy vinculados a servicios ocultos de Tor para conectarse a sus servidores de comando y control , lo que aumenta la dificultad de rastrear la ubicación exacta de los delincuentes. [49] [50] Además, los proveedores de la web oscura tienen cada vez más [ ¿cuándo? ] comenzó a ofrecer la tecnología como un servicio , en el que se vende ransomware, listo para su implementación en las máquinas de las víctimas, mediante suscripción, de manera similar a Adobe Creative Cloud u Office 365. [50] [51] [52]
Symantec ha clasificado el ransomware como la amenaza cibernética más peligrosa. [53]
En agosto de 2010, las autoridades rusas arrestaron a nueve personas relacionadas con un troyano ransomware conocido como WinLock. A diferencia del anterior troyano Gpcode, WinLock no utilizaba cifrado. En cambio, WinLock restringió trivialmente el acceso al sistema mostrando imágenes pornográficas y pidió a los usuarios que enviaran un SMS de tarifa premium (que costaba alrededor de 10 dólares estadounidenses) para recibir un código que podría usarse para desbloquear sus máquinas. La estafa afectó a numerosos usuarios en Rusia y países vecinos y, según se informa, le hizo ganar al grupo más de 16 millones de dólares. [19] [54]
En 2011, apareció un troyano ransomware que imitaba el aviso de activación de productos de Windows e informaba a los usuarios que la instalación de Windows de un sistema debía reactivarse debido a "[ser] víctima de un fraude". Se ofrecía una opción de activación en línea (como el proceso de activación de Windows real), pero no estaba disponible, lo que requería que el usuario llamara a uno de los seis números internacionales para ingresar un código de 6 dígitos. Si bien el malware afirmó que esta llamada sería gratuita, fue enrutada a través de un operador fraudulento en un país con altas tarifas telefónicas internacionales, quien puso la llamada en espera, lo que provocó que el usuario incurriera en grandes cargos de larga distancia internacional. [17]
En 2012, Symantec informó que se había extendido desde Europa del Este un ransomware con una pantalla de bloqueo que pretendía ser una aplicación de la ley que exigía un pago por actividades ilegales. [55]
En febrero de 2013, apareció un troyano ransomware basado en el kit de explotación Stamp.EK; El malware se distribuyó a través de sitios alojados en los servicios de alojamiento del proyecto SourceForge y GitHub que afirmaban ofrecer "fotos falsas de desnudos" de celebridades. [56] En julio de 2013, apareció un troyano ransomware específico para OS X , que muestra una página web que acusa al usuario de descargar pornografía. A diferencia de sus homólogos basados en Windows, no bloquea todo el ordenador, sino que simplemente explota el comportamiento del propio navegador web para frustrar los intentos de cerrar la página por medios normales. [57]
En julio de 2013, un hombre de 21 años de Virginia, cuya computadora casualmente contenía fotografías pornográficas de niñas menores de edad con las que había mantenido comunicaciones sexualizadas, se entregó a la policía después de recibir y ser engañado por el FBI MoneyPak Ransomware acusándolo de poseer pornografía infantil. Una investigación descubrió los archivos incriminatorios y el hombre fue acusado de abuso sexual infantil y posesión de pornografía infantil. [58]
Lo contrario del ransomware es un ataque de criptovirología inventado por Adam L. Young que amenaza con publicar información robada del sistema informático de la víctima en lugar de negarle el acceso a ella. [59] En un ataque de filtración, el malware filtra datos confidenciales del host al atacante o, alternativamente, a instancias remotas del malware, y el atacante amenaza con publicar los datos de la víctima a menos que se pague un rescate. El ataque se presentó en West Point en 2003 y se resumió en el libro Malicious Cryptography de la siguiente manera: "El ataque se diferencia del ataque de extorsión en lo siguiente. En el ataque de extorsión, a la víctima se le niega el acceso a su propia información valiosa y tiene pagar para recuperarla, mientras que en el ataque que aquí se presenta la víctima retiene el acceso a la información pero su divulgación queda a discreción del virus informático". [60] El ataque tiene sus raíces en la teoría de juegos y originalmente se denominó "juegos de suma distinta de cero y malware de supervivencia". El ataque puede generar ganancias monetarias en los casos en que el malware obtiene acceso a información que puede dañar al usuario u organización víctima, por ejemplo, el daño a la reputación que podría resultar de la publicación de pruebas de que el ataque en sí fue un éxito.
Los objetivos comunes de exfiltración incluyen:
Los ataques de exfiltración suelen ser dirigidos, con una lista de víctimas seleccionada y, a menudo, una vigilancia preliminar de los sistemas de la víctima para encontrar posibles objetivos de datos y debilidades. [61] [62]
Con la creciente popularidad del ransomware en plataformas de PC, también ha proliferado el ransomware dirigido a sistemas operativos móviles . Normalmente, las cargas útiles del ransomware móvil son bloqueadores, ya que hay pocos incentivos para cifrar datos, ya que se pueden restaurar fácilmente mediante sincronización en línea. [63] El ransomware móvil normalmente se dirige a la plataforma Android , ya que permite instalar aplicaciones desde fuentes de terceros. [63] [64] La carga útil generalmente se distribuye como un archivo APK instalado por un usuario desprevenido; puede intentar mostrar un mensaje de bloqueo sobre todas las demás aplicaciones, [64] mientras que otro utilizó una forma de clickjacking para hacer que el usuario le otorgara privilegios de "administrador de dispositivos" para lograr un acceso más profundo al sistema. [sesenta y cinco]
Se han utilizado diferentes tácticas en dispositivos iOS , como explotar cuentas de iCloud y utilizar el sistema Buscar mi iPhone para bloquear el acceso al dispositivo. [66] En iOS 10.3 , Apple corrigió un error en el manejo de ventanas emergentes de JavaScript en Safari que había sido explotado por sitios web de ransomware. [67] Recientemente [ ¿cuándo? ] se ha demostrado que el ransomware también puede apuntar a arquitecturas ARM como las que se pueden encontrar en varios dispositivos de Internet de las cosas (IoT), como los dispositivos de borde de IoT industrial. [68]
En agosto de 2019, los investigadores demostraron que es posible infectar cámaras DSLR con ransomware. [69] Las cámaras digitales suelen utilizar el protocolo de transferencia de imágenes (PTP, protocolo estándar utilizado para transferir archivos). Los investigadores descubrieron que era posible explotar las vulnerabilidades del protocolo para infectar las cámaras objetivo con ransomware (o ejecutar cualquier código arbitrario). Este ataque se presentó en la conferencia de seguridad Defcon en Las Vegas como una prueba de concepto de ataque (no como malware armado real).
Los primeros ataques fueron contra usuarios aleatorios, generalmente infectados a través de archivos adjuntos de correo electrónico enviados por pequeños grupos de delincuentes, que exigían unos cientos de dólares en criptomonedas para desbloquear archivos (generalmente fotografías y documentos de un individuo privado) que el ransomware había cifrado. A medida que el ransomware maduró como negocio, las bandas organizadas entraron en el campo, anunciando en la web oscura expertos y subcontratando funciones. Esto condujo a una mejora en la calidad del ransomware y su éxito. En lugar de correos electrónicos aleatorios, las pandillas robaron credenciales, encontraron vulnerabilidades en las redes objetivo y mejoraron el malware para evitar la detección por parte de escáneres antimalware. Los rescates exigidos ascendieron a sumas mucho mayores (millones) que una empresa pagaría para recuperar sus datos, en lugar de lo que un individuo pagaría por sus documentos (cientos).
En 2016, se observó un aumento significativo de los ataques de ransomware a hospitales. Según el Informe sobre amenazas a la seguridad en Internet de 2017 de Symantec Corp, el ransomware afectó no solo a los sistemas de TI sino también a la atención al paciente, las operaciones clínicas y la facturación. Los delincuentes en línea pueden estar motivados por el dinero disponible y el sentido de urgencia dentro del sistema de salud. [70]
El ransomware está creciendo rápidamente entre los usuarios de Internet, pero también en el entorno de IoT. [55] El gran problema es que algunas organizaciones e industrias que han decidido pagar, como el Hollywood Presbyterian Medical Center y MedStar Health, pierden millones de dólares. [71]
Según el informe ISTR de Symantec de 2019, por primera vez desde 2013, en 2018 se observó una disminución en la actividad de ransomware con una caída del 20 por ciento. Antes de 2017, los consumidores eran las víctimas preferidas, pero en 2017 esto cambió drásticamente y pasó a las empresas. En 2018 este camino se aceleró con un 81 por ciento de contagios lo que representó un aumento del 12 por ciento. [72] El método de distribución común hoy en día se basa en campañas de correo electrónico.
A finales de 2019, el grupo de ransomware Maze descargó archivos confidenciales de las empresas antes de bloquearlos y amenazó con filtrar los datos públicamente si no se pagaba el rescate; en al menos un caso hicieron esto. Siguieron muchas otras pandillas; Se crearon "sitios de filtración" en la web oscura donde se podía acceder a los datos robados. Los ataques posteriores se centraron en la amenaza de filtrar datos, sin necesariamente bloquearlos; esto anuló la protección que brindaban a las víctimas los sólidos procedimientos de respaldo. A partir de 2023 [actualizar]existe el riesgo de que gobiernos hostiles utilicen ransomware para ocultar lo que en realidad es recopilación de inteligencia. [73]
La primera muerte reportada tras un ataque de ransomware se produjo en un hospital alemán en octubre de 2020. [74]
En 2012, comenzó a propagarse un importante troyano ransomware conocido como Reveton. Basado en el troyano Citadel (que, a su vez, se basa en el troyano Zeus ), su carga útil muestra una advertencia supuestamente de una agencia de aplicación de la ley que afirma que la computadora se ha utilizado para actividades ilegales, como la descarga de software sin licencia o pornografía infantil . Debido a este comportamiento, se le conoce comúnmente como "troyano policial". [75] [76] [77] La advertencia informa al usuario que para desbloquear su sistema, tendría que pagar una multa utilizando un vale de un servicio de efectivo prepago anónimo como Ukash o paysafecard . Para aumentar la ilusión de que la policía está rastreando la computadora, la pantalla también muestra la dirección IP de la computadora , mientras que algunas versiones muestran imágenes de la cámara web de la víctima para dar la ilusión de que el usuario está siendo grabado. [7] [78]
Reveton inicialmente comenzó a difundirse en varios países europeos a principios de 2012. [7] Las variantes se localizaron con plantillas marcadas con los logotipos de diferentes organizaciones encargadas de hacer cumplir la ley según el país del usuario; por ejemplo, las variantes utilizadas en el Reino Unido contenían la marca de organizaciones como el Servicio de Policía Metropolitana y la Unidad Nacional de Delitos Electrónicos de la Policía . Otra versión contenía el logotipo de la sociedad de recaudación de derechos PRS for Music , que acusaba específicamente al usuario de descargar música ilegalmente. [79] En una declaración advirtiendo al público sobre el malware, la Policía Metropolitana aclaró que nunca bloquearían una computadora de esa manera como parte de una investigación. [7] [18]
En mayo de 2012, los investigadores de amenazas de Trend Micro descubrieron plantillas para variaciones para Estados Unidos y Canadá , lo que sugiere que sus autores pueden haber estado planeando apuntar a usuarios en América del Norte. [80] En agosto de 2012, una nueva variante de Reveton comenzó a difundirse en los Estados Unidos, afirmando exigir el pago de una multa de 200 dólares al FBI utilizando una tarjeta MoneyPak . [8] [9] [78] En febrero de 2013, un ciudadano ruso fue arrestado en Dubai por las autoridades españolas por su conexión con una red criminal que había estado utilizando Reveton; Otras diez personas fueron arrestadas por cargos de lavado de dinero . [81] En agosto de 2014, Avast Software informó que había encontrado nuevas variantes de Reveton que también distribuyen malware para robar contraseñas como parte de su carga útil. [82]
El ransomware de cifrado reapareció en septiembre de 2013 con un troyano conocido como CryptoLocker , que generaba un par de claves RSA de 2048 bits y se cargaba a su vez en un servidor de comando y control, y se utilizaba para cifrar archivos utilizando una lista blanca de extensiones de archivos específicas . El malware amenazaba con eliminar la clave privada si no se realizaba un pago de Bitcoin o un vale en efectivo prepago dentro de los 3 días posteriores a la infección. Debido al tamaño de clave extremadamente grande que utiliza, los analistas y los afectados por el troyano consideraron que CryptoLocker era extremadamente difícil de reparar. [27] [83] [84] [85] Incluso después de que pasara la fecha límite, la clave privada aún podría obtenerse utilizando una herramienta en línea, pero el precio aumentaría a 10 BTC, que costaba aproximadamente 2300 dólares estadounidenses en noviembre de 2013. [ 86] [87]
CryptoLocker fue aislado por la incautación de la botnet Gameover ZeuS como parte de la Operación Tovar , como anunció oficialmente el Departamento de Justicia de EE.UU. el 2 de junio de 2014. El Departamento de Justicia también emitió públicamente una acusación contra el hacker ruso Evgeniy Bogachev por su supuesta participación en la red de bots. [88] [89] Se estimó que se extorsionaron al menos 3 millones de dólares con el malware antes del cierre. [12]
En septiembre de 2014, surgió una ola de troyanos ransomware dirigidos por primera vez a usuarios de Australia , bajo los nombres CryptoWall y CryptoLocker (que, al igual que CryptoLocker 2.0, no tiene relación con el CryptoLocker original). Los troyanos se propagan a través de correos electrónicos fraudulentos que afirman ser avisos de entrega de paquetes fallidos del Correo de Australia ; Para evadir la detección de los escáneres automáticos de correo electrónico que siguen todos los enlaces de una página para buscar malware, esta variante fue diseñada para requerir que los usuarios visiten una página web e ingresen un código CAPTCHA antes de que la carga útil se descargue realmente, evitando que dichos procesos automatizados poder escanear la carga útil. Symantec determinó que estas nuevas variantes, que identificó como CryptoLocker.F , nuevamente no estaban relacionadas con el CryptoLocker original debido a diferencias en su funcionamiento. [90] [91] Una víctima notable de los troyanos fue la Australian Broadcasting Corporation ; La programación en vivo en su canal de noticias de televisión ABC News 24 fue interrumpida durante media hora y trasladada a los estudios de Melbourne debido a una infección CryptoWall en las computadoras de su estudio de Sydney . [92] [93] [94]
Otro troyano de esta ola, TorrentLocker , inicialmente contenía un defecto de diseño comparable al CryptoDefense; utilizó el mismo flujo de claves para cada computadora infectada, lo que hizo que el cifrado fuera trivial de superar. Sin embargo, este defecto se solucionó posteriormente. [40] A finales de noviembre de 2014, se estimaba que más de 9.000 usuarios habían sido infectados por TorrentLocker solo en Australia, sólo detrás de Turquía con 11.700 infecciones. [95]
Otro importante troyano ransomware dirigido a Windows, CryptoWall, apareció por primera vez en 2014. Una cepa de CryptoWall se distribuyó como parte de una campaña de publicidad maliciosa en la red publicitaria Zedo a finales de septiembre de 2014 dirigida a varios sitios web importantes; los anuncios se redireccionaban a sitios web fraudulentos que utilizaban complementos del navegador para descargar la carga útil. Un investigador de Barracuda Networks también señaló que la carga útil estaba firmada con una firma digital en un esfuerzo por parecer confiable para el software de seguridad. [96] CryptoWall 3.0 utilizó una carga útil escrita en JavaScript como parte de un archivo adjunto de correo electrónico, que descarga ejecutables disfrazados de imágenes JPG . Para evadir aún más la detección, el malware crea nuevas instancias de explorer.exe y svchost.exe para comunicarse con sus servidores. Al cifrar archivos, el malware también elimina instantáneas de volumen e instala software espía que roba contraseñas y billeteras de Bitcoin . [97]
El FBI informó en junio de 2015 que casi 1.000 víctimas se habían puesto en contacto con el Centro de Denuncias de Delitos en Internet de la oficina para informar sobre infecciones de CryptoWall y estimaron pérdidas de al menos 18 millones de dólares. [13]
El más reciente [ ¿cuándo? ] , CryptoWall 4.0, mejoró su código para evitar la detección de antivirus y cifra no solo los datos de los archivos sino también los nombres de los archivos. [98]
Fusob es una familia importante de ransomware móvil. Entre abril de 2015 y marzo de 2016, alrededor del 56 por ciento del ransomware móvil contabilizado fue Fusob. [99]
Como la mayoría de los otros tipos de ransomware, emplea tácticas de miedo para extorsionar al usuario con una suma considerable. [100] La aplicación actúa como si fuera un aviso de las autoridades , exigiendo a la víctima que pague una multa de $100 a $200 USD o de lo contrario enfrentará un cargo criminal ficticio. Fusob solicita tarjetas de regalo de iTunes para realizar pagos, a diferencia de la mayoría de los ransomware centrados en criptomonedas.
Para infectar dispositivos, Fusob se hace pasar por un reproductor de vídeos pornográficos. [101] Cuando se instala, primero verifica el idioma del sistema del dispositivo. Si el idioma es ruso o de Europa del Este, Fusob permanece inactivo. De lo contrario, bloquea el dispositivo y exige un rescate. Alrededor del 40% de las víctimas se encuentran en Alemania, mientras que el Reino Unido abarca el 14,5% de las víctimas y Estados Unidos el 11,4%. Fusob y Small (otra familia de ransomware) representaron más del 93% del ransomware móvil entre 2015 y 2016.
En mayo de 2017, el ataque de ransomware WannaCry se propagó a través de Internet, utilizando un vector de explotación llamado EternalBlue , que supuestamente fue filtrado por la Agencia de Seguridad Nacional de EE. UU . El ataque de ransomware, de escala sin precedentes, [102] infectó más de 230.000 computadoras en más de 150 países, [103] utilizando 20 idiomas diferentes para exigir dinero a los usuarios que utilizan la criptomoneda Bitcoin . WannaCry exigía 300 dólares por ordenador. [104] El ataque afectó a Telefónica y a varias otras grandes empresas en España, así como a partes del Servicio Nacional de Salud británico (NHS), donde al menos 16 hospitales tuvieron que rechazar pacientes o cancelar operaciones programadas, [105] FedEx , Deutsche Bahn , Honda , [106] Renault , así como el Ministerio del Interior ruso y la empresa de telecomunicaciones rusa MegaFon . [107] Los atacantes dieron a sus víctimas un plazo de 7 días a partir del día en que sus computadoras fueron infectadas, después del cual los archivos cifrados se eliminarían. [108]
Petya fue descubierta por primera vez en marzo de 2016; A diferencia de otras formas de cifrado de ransomware, el malware tenía como objetivo infectar el registro de inicio maestro , instalando una carga útil que cifra las tablas de archivos del sistema de archivos NTFS la próxima vez que se inicia el sistema infectado, bloqueando el inicio del sistema en Windows hasta el momento. se paga el rescate. Check Point informó que a pesar de lo que creía que era una evolución innovadora en el diseño de ransomware, había resultado en relativamente menos infecciones que otros ransomware activos en el mismo período de tiempo. [109]
El 27 de junio de 2017, se utilizó una versión muy modificada de Petya para un ciberataque global dirigido principalmente a Ucrania (pero que afectó a muchos países [110] ). Esta versión se modificó para propagarse utilizando el mismo exploit EternalBlue que utilizó WannaCry. Debido a otro cambio de diseño, tampoco puede desbloquear un sistema después de pagar el rescate; Esto llevó a los analistas de seguridad a especular que el ataque no tenía como objetivo generar ganancias ilícitas, sino simplemente causar interrupciones. [111] [112]
El 24 de octubre de 2017, algunos usuarios en Rusia y Ucrania informaron de un nuevo ataque de ransomware, llamado "Bad Rabbit", que sigue un patrón similar al de WannaCry y Petya al cifrar las tablas de archivos del usuario y luego exige un pago de Bitcoin para descifrarlos. ESET creía que el ransomware se había distribuido mediante una actualización falsa del software Adobe Flash . [113] Entre las agencias que se vieron afectadas por el ransomware se encuentran: Interfax , el Aeropuerto Internacional de Odesa , el Metro de Kiev y el Ministerio de Infraestructura de Ucrania. [114] Dado que utilizó estructuras de redes corporativas para propagarse, el ransomware también se descubrió en otros países, incluidos Turquía, Alemania, Polonia, Japón, Corea del Sur y Estados Unidos. [115] Los expertos creían que el ataque de ransomware estaba relacionado con el ataque de Petya en Ucrania (especialmente porque el código de Bad Rabbit tiene muchos elementos superpuestos y analógicos al código de Petya/NotPetya, [ 116] adjunto a CrowdStrike Bad Rabbit y la DLL de NotPetya (enlace dinámico biblioteca) comparten el 67 por ciento del mismo código [117] ), aunque la única identidad de los culpables son los nombres de los personajes de la serie Juego de Tronos incrustados en el código. [115]
Los expertos en seguridad descubrieron que el ransomware no utilizó el exploit EternalBlue para propagarse, y el 24 de octubre de 2017 se encontró un método simple para inocular una máquina no afectada que ejecuta versiones anteriores de Windows. [118] [119] Además, los sitios que se habían utilizado para difundir la actualización falsa de Flash se desconectó o eliminó los archivos problemáticos a los pocos días de su descubrimiento, eliminando efectivamente la propagación de Bad Rabbit. [115]
En 2016, surgió una nueva cepa de ransomware dirigida a los servidores JBoss . [120] Se descubrió que esta cepa, denominada "SamSam", evita el proceso de phishing o descargas ilícitas a favor de explotar vulnerabilidades en servidores débiles. [121] El malware utiliza un ataque de fuerza bruta del Protocolo de escritorio remoto para adivinar contraseñas débiles hasta que se rompe una. El virus ha estado detrás de ataques contra objetivos gubernamentales y de atención médica, con ataques notables contra la ciudad de Farmington, Nuevo México , el Departamento de Transporte de Colorado , el condado de Davidson, Carolina del Norte y, más recientemente, [ ¿cuándo? ] , un ataque de ransomware a la infraestructura de Atlanta . [121]
Mohammad Mehdi Shah Mansouri (nacido en Qom , Irán en 1991) y Faramarz Shahi Savandi (nacido en Shiraz , Irán , en 1984) son buscados por el FBI por supuestamente lanzar el ransomware SamSam. [122] Los dos supuestamente ganaron $6 millones por extorsión y causaron más de $30 millones en daños usando el malware. [123]
El 7 de mayo de 2021 se ejecutó un ciberataque al Colonial Pipeline de Estados Unidos. La Oficina Federal de Investigaciones identificó a DarkSide como el autor del ataque de ransomware Colonial Pipeline , perpetrado mediante código malicioso , que provocó el cierre voluntario del oleoducto principal que suministra el 45% del combustible a la costa este de Estados Unidos . El ataque fue descrito como el peor ciberataque hasta la fecha a la infraestructura crítica de Estados Unidos . DarkSide extorsionó con éxito alrededor de 75 Bitcoin (casi 5 millones de dólares) de Colonial Pipeline. Los funcionarios estadounidenses están investigando si el ataque fue puramente criminal o tuvo lugar con la participación del gobierno ruso u otro estado patrocinador. Tras el ataque, DarkSide publicó una declaración afirmando que "Somos apolíticos, no participamos en la geopolítica... Nuestro objetivo es ganar dinero y no crear problemas para la sociedad".
En mayo de 2021, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron una alerta conjunta instando a los propietarios y operadores de infraestructura crítica a tomar ciertas medidas para reducir su vulnerabilidad al ransomware DarkSide y al ransomware en general.
Syskey es una utilidad que se incluyó con los sistemas operativos basados en Windows NT para cifrar la base de datos de cuentas de usuario , opcionalmente con una contraseña. En ocasiones, la herramienta se ha utilizado eficazmente como ransomware durante estafas de soporte técnico , donde una persona que llama con acceso remoto a la computadora puede usar la herramienta para bloquear al usuario fuera de su computadora con una contraseña que solo él conoce. [124] Syskey se eliminó de versiones posteriores de Windows 10 y Windows Server en 2017, debido a que estaba obsoleto y "se sabe que lo utilizan los piratas informáticos como parte de estafas de ransomware". [125] [126]
El ransomware como servicio (RaaS) se convirtió en un método notable después de que el grupo REvil , con sede en Rusia [127] o de habla rusa [128] , organizara operaciones contra varios objetivos, incluido JBS SA , con sede en Brasil , en mayo de 2021, y el Kaseya Limited , con sede en Estados Unidos, en julio de 2021. [129] Después de una llamada telefónica el 9 de julio de 2021 entre el presidente estadounidense Joe Biden y el presidente ruso Vladimir Putin , Biden dijo a la prensa: "Le dejé muy claro que Estados Unidos espera Cuando una operación de ransomware proviene de su territorio a pesar de que no está patrocinada por el estado, esperamos que actúen si les damos suficiente información para determinar quién es". Biden añadió más tarde que Estados Unidos cerraría los servidores del grupo si Putin no lo hacía. [130] [131] Cuatro días después, los sitios web de REvil y otra infraestructura desaparecieron de Internet. [132]
Si se sospecha o se detecta un ataque en sus primeras etapas, el cifrado tarda algún tiempo en realizarse; La eliminación inmediata del malware (un proceso relativamente simple) antes de que se complete detendría más daños a los datos, sin recuperar los ya perdidos. [133] [134]
Los expertos en seguridad han sugerido medidas de precaución para hacer frente al ransomware. El uso de software u otras políticas de seguridad para bloquear el lanzamiento de cargas útiles conocidas ayudará a prevenir infecciones, pero no protegerá contra todos los ataques [27] [135] Como tal, tener una solución de respaldo adecuada es un componente crítico para defenderse contra el ransomware. Tenga en cuenta que, debido a que muchos atacantes de ransomware no solo cifrarán la máquina activa de la víctima, sino que también intentarán eliminar cualquier copia de seguridad almacenada localmente o accesible a través de la red en un NAS , también es fundamental mantener copias de seguridad "fuera de línea" de los datos almacenados en Las ubicaciones inaccesibles desde cualquier computadora potencialmente infectada , como unidades de almacenamiento externas o dispositivos que no tienen acceso a ninguna red (incluido Internet) , impiden que el ransomware acceda a ellas. Además, si utiliza un almacenamiento NAS o en la nube , entonces la computadora debe tener permiso para agregar solo al almacenamiento de destino, de modo que no pueda eliminar ni sobrescribir copias de seguridad anteriores. Según comodo , la aplicación de dos reducciones de superficie de ataque en el sistema operativo / kernel proporciona una superficie de ataque materialmente reducida que da como resultado una mayor postura de seguridad. [136] [137] [138]
La instalación de actualizaciones de seguridad emitidas por proveedores de software puede mitigar las vulnerabilidades que aprovechan ciertas cepas para propagarse. [139] [140] [141] [142] [143] Otras medidas incluyen higiene cibernética : tener cuidado al abrir archivos adjuntos y enlaces de correo electrónico , segmentación de redes y mantener las computadoras críticas aisladas de las redes. [144] [145] Además, para mitigar la propagación de ransomware se pueden aplicar medidas de control de infecciones . [146] Esto puede incluir desconectar las máquinas infectadas de todas las redes, programas educativos, [147] canales de comunicación efectivos, vigilancia de malware [¿ investigación original? ] y formas de participación colectiva [146]
En agosto de 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un informe que brindaba orientación sobre cómo mitigar los ataques de ransomware. Esto se debió a un aumento significativo en los ataques recientes relacionados con ransomware. Estos ataques incluyeron una agresión contra una empresa de oleoductos estadounidense y una empresa de software, que afectó a los clientes intermedios de los MSP . [148]
Varios sistemas de archivos guardan instantáneas de los datos que contienen, que pueden usarse para recuperar el contenido de los archivos de un momento anterior al ataque de ransomware en caso de que el ransomware no lo desactive.
Hay una serie de herramientas diseñadas específicamente para descifrar archivos bloqueados por ransomware, aunque es posible que no sea posible una recuperación exitosa. [2] [151] Si se utiliza la misma clave de cifrado para todos los archivos, las herramientas de descifrado utilizan archivos para los cuales hay copias de seguridad no corruptas y copias cifradas (un ataque de texto sin formato conocido en la jerga del criptoanálisis . Pero solo funciona cuando el cifrado el atacante utilizado era débil para empezar, siendo vulnerable a ataques de texto plano conocido); La recuperación de la clave, si es posible, puede tardar varios días. [152] Las herramientas gratuitas de descifrado de ransomware pueden ayudar a descifrar archivos cifrados por las siguientes formas de ransomware: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear , Jigsaw, LambdaLocker , Legión, NoobCrypt, Stampado, SZFLocker, TeslaCrypt , XData. [153] El cifrado de ransomware que ha sido descifrado por investigadores de seguridad normalmente se abandona con fines delictivos; por lo tanto, en la práctica la mayoría de los ataques no pueden revertirse rompiendo el cifrado. [154]
El proyecto No More Ransom es una iniciativa de la Unidad Nacional de Delitos de Alta Tecnología de la policía de los Países Bajos , el Centro Europeo de Ciberdelincuencia de Europol , Kaspersky Lab y McAfee para ayudar a las víctimas de ransomware a recuperar sus datos sin pagar un rescate. [155] Ofrecen una herramienta CryptoSheriff gratuita para analizar archivos cifrados y buscar herramientas de descifrado. [156]
Además, es posible que en el disco existan copias antiguas de archivos que se hayan eliminado previamente. En algunos casos, es posible que estas versiones eliminadas aún se puedan recuperar utilizando un software diseñado para ese fin .
Una investigación de ProPublica de 2019 encontró que las empresas de ciberseguridad Proven Data Recovery y Monstercloud, que anunciaban servicios de descifrado sin rescate, normalmente simplemente pagaban el rescate y cobraban a la víctima un precio más alto. [154] Los piratas informáticos de SamSam trataron con Proven Data con tanta frecuencia que recomendarían la empresa a las víctimas que tuvieran dificultades técnicas para realizar el pago. [154] Otras empresas como Coveware fueron más transparentes al ofrecer el servicio de pagar a los piratas informáticos y parchear sistemas inseguros. [154] Muchas víctimas estadounidenses descubrieron que el monto del rescate era demasiado bajo para alcanzar el umbral del Departamento de Justicia de los Estados Unidos para la participación federal, pero que la policía local carecía de las capacidades técnicas para ayudar y, a menudo, eran ellas mismas víctimas. [154]
Un estudiante británico, Zain Qaiser, de Barking, Londres, fue encarcelado durante más de seis años en el Tribunal de la Corona de Kingston upon Thames por sus ataques de ransomware en 2019. [157] Se dice que fue "el ciberdelincuente más prolífico sentenciado en el Reino Unido". Se volvió activo cuando solo tenía 17 años. Se puso en contacto con el controlador ruso de uno de los ataques más poderosos, que se cree que es la banda de malware Lurk, y arregló una división de sus ganancias. También se puso en contacto con delincuentes en línea de China y Estados Unidos para mover el dinero. [157] Durante aproximadamente un año y medio, se hizo pasar por un proveedor legítimo de promociones en línea de publicidad de libros en algunos de los sitios web de pornografía legal más visitados del mundo. Cada uno de los anuncios promocionados en los sitios web contenía la cepa Reveton Ransomware del malicioso Angler Exploit Kit (AEK) [158] que tomó el control de la máquina. Los investigadores descubrieron alrededor de £700.000 en ganancias, aunque su red puede haber ganado más de £4 millones. Es posible que haya escondido algo de dinero utilizando criptomonedas. El ransomware indicaría a las víctimas que compraran vales GreenDot MoneyPak e ingresaran el código en el panel de Reveton que se muestra en la pantalla. Este dinero ingresó a una cuenta MoneyPak administrada por Qaiser, quien luego depositaría los pagos de los vales en la cuenta de tarjeta de débito de su cómplice estadounidense, Raymond Odigie Uadiale. Uadiale fue estudiante de la Universidad Internacional de Florida durante 2012 y 2013 y posteriormente trabajó para Microsoft. Uadiale convertiría el dinero en moneda digital Liberty Reserve y lo depositaría en la cuenta Liberty Reserve de Qaiser. [159]
Un gran avance, en este caso, se produjo en mayo de 2013 cuando autoridades de varios países confiscaron los servidores de Liberty Reserve, obteniendo acceso a todas sus transacciones e historial de cuentas. Qaiser estaba ejecutando máquinas virtuales cifradas en su Macbook Pro con sistemas operativos Mac y Windows. [160] No pudo ser juzgado antes porque fue internado (internado involuntariamente) bajo la Ley de Salud Mental del Reino Unido de 1983 en el Hospital Goodmayes , donde se descubrió que estaba usando el Wi-Fi del hospital para acceder a sus sitios publicitarios. Su abogado afirmó que Qaiser padecía una enfermedad mental. [157] La policía rusa arrestó a 50 miembros de la banda de malware Lurk en junio de 2016. [161] Uadiale, un ciudadano estadounidense naturalizado de ascendencia nigeriana, fue encarcelado durante 18 meses. [162]
La publicación de código de ataque de prueba de concepto es común entre los investigadores académicos y los investigadores de vulnerabilidades. Enseña la naturaleza de la amenaza, transmite la gravedad de los problemas y permite idear y aplicar contramedidas. Sin embargo, los legisladores, con el apoyo de los organismos encargados de hacer cumplir la ley, están considerando ilegalizar la creación de ransomware. En el estado de Maryland, el borrador original de la HB 340 tipificaba como delito grave la creación de ransomware, penado con hasta 10 años de prisión. [163] Sin embargo, esta disposición fue eliminada de la versión final del proyecto de ley. [ cita necesaria ] Un menor en Japón fue arrestado por crear y distribuir código ransomware. [164] Young y Yung han tenido el código fuente ANSI C de un criptotroyano ransomware en línea, en cryptovirology.com, desde 2005 como parte de un libro de criptovirología que se estaba escribiendo. El código fuente del criptotroyano todavía está disponible en Internet y está asociado con un borrador del Capítulo 2. [165]
{{cite news}}
: Mantenimiento CS1: varios nombres: lista de autores ( enlace )