Secuestro de datos

Software malicioso utilizado en demandas de rescate

El ransomware es un tipo de malware criptovirológico que bloquea permanentemente el acceso a los datos personales de la víctima a menos que se pague un rescate. Si bien algunos ransomware simples pueden bloquear el sistema sin dañar ningún archivo, el malware más avanzado utiliza una técnica llamada extorsión criptoviral. Cifra los archivos de la víctima, haciéndolos inaccesibles y exige un pago de rescate para descifrarlos. ^{[1] [2] [3] [4] [5]} En un ataque de extorsión criptoviral implementado correctamente, recuperar los archivos sin la clave de descifrado es un problema intratable , y las monedas digitales difíciles de rastrear como paysafecard o Bitcoin y otras Se utilizan criptomonedas para los rescates, lo que dificulta rastrear y procesar a los perpetradores.

Los ataques de ransomware generalmente se llevan a cabo utilizando un troyano disfrazado de un archivo legítimo que se engaña al usuario para que lo descargue o lo abra cuando llega como un archivo adjunto de correo electrónico. Sin embargo, un ejemplo de alto perfil, el gusano WannaCry , viajaba automáticamente entre computadoras sin interacción del usuario. ^[6]

A partir de 1989, con el primer ransomware documentado conocido como troyano SIDA , el uso de estafas de ransomware ha crecido a nivel internacional. ^{[7] [8] [9]} Hubo 181,5 millones de ataques de ransomware en los primeros seis meses de 2018. Este récord marca un aumento del 229 % con respecto a este mismo período de tiempo en 2017. ^[10] En junio de 2014, el proveedor McAfee publicó datos que muestran que había recopilado más del doble de muestras de ransomware ese trimestre que en el mismo trimestre del año anterior. ^[11] CryptoLocker fue particularmente exitoso, obteniendo aproximadamente 3 millones de dólares antes de que fuera retirado por las autoridades, ^{[12] y la} Oficina Federal de Investigaciones (FBI) de EE. UU. estimó que CryptoWall había acumulado más de 18 millones de dólares en junio de 2015. ^[13] En 2020, el IC3 recibió 2.474 quejas identificadas como ransomware con pérdidas ajustadas de más de 29,1 millones de dólares. Las pérdidas podrían ser mayores, según el FBI. ^[14] A nivel mundial, según Statistica , hubo alrededor de 623 millones de ataques de ransomware en 2021 y 493 millones en 2022. ^[15]

Operación

El concepto de ransomware de cifrado de archivos fue inventado e implementado por Young y Yung en la Universidad de Columbia y presentado en la conferencia IEEE Security & Privacy de 1996. Se llama extorsión criptoviral y se inspiró en el abrazacaras ficticio de la película Alien . ^[16] La extorsión criptoviral es el siguiente protocolo de tres rondas llevado a cabo entre el atacante y la víctima. ^[1]

1. [atacante→víctima] El atacante genera un par de claves y coloca la clave pública correspondiente en el malware. Se libera el malware.
2. [víctima→atacante] Para llevar a cabo el ataque de extorsión criptoviral, el malware genera una clave simétrica aleatoria y cifra los datos de la víctima con ella. Utiliza la clave pública del malware para cifrar la clave simétrica. Esto se conoce como cifrado híbrido y da como resultado un pequeño texto cifrado asimétrico, así como el texto cifrado simétrico de los datos de la víctima. Pone a cero la clave simétrica y los datos de texto sin formato originales para evitar la recuperación. Envía un mensaje al usuario que incluye el texto cifrado asimétrico y cómo pagar el rescate. La víctima envía el texto cifrado asimétrico y el dinero electrónico al atacante.
3. [atacante→víctima] El atacante recibe el pago, descifra el texto cifrado asimétrico con la clave privada del atacante y envía la clave simétrica a la víctima. La víctima descifra los datos cifrados con la clave simétrica necesaria, completando así el ataque de criptovirología.

La clave simétrica se genera aleatoriamente y no ayudará a otras víctimas. En ningún momento la clave privada del atacante queda expuesta a las víctimas y la víctima sólo necesita enviar un texto cifrado muy pequeño (la clave de cifrado simétrico cifrada) al atacante.

Los ataques de ransomware generalmente se llevan a cabo utilizando un troyano , ingresando a un sistema a través de, por ejemplo, un archivo adjunto malicioso, un enlace incrustado en un correo electrónico de phishing o una vulnerabilidad en un servicio de red. Luego, el programa ejecuta una carga útil , que bloquea el sistema de alguna manera, o afirma bloquear el sistema pero no lo hace (por ejemplo, un programa scareware ). Las cargas útiles pueden mostrar una advertencia falsa supuestamente emitida por una entidad como una agencia de aplicación de la ley , afirmando falsamente que el sistema se ha utilizado para actividades ilegales, contiene contenido como pornografía y medios "pirateados" . ^{[17] [18] [19]}

Algunas cargas útiles consisten simplemente en una aplicación diseñada para bloquear o restringir el sistema hasta que se realice el pago, generalmente configurando el Shell de Windows en sí mismo, ^[20] o incluso modificando el registro de inicio maestro y/o la tabla de particiones para evitar que el sistema operativo se inicie. hasta que sea reparado. ^[21] Las cargas útiles más sofisticadas cifran archivos, y muchas utilizan un cifrado fuerte para cifrar los archivos de la víctima de tal manera que solo el autor del malware tenga la clave de descifrado necesaria. ^{[1] [22] [23]}

El pago es prácticamente siempre el objetivo, y la víctima se ve obligada a pagar para eliminar el ransomware, ya sea proporcionando un programa que pueda descifrar los archivos o enviando un código de desbloqueo que deshaga los cambios de la carga útil. Si bien el atacante puede simplemente tomar el dinero sin devolver los archivos de la víctima, lo mejor para el atacante es realizar el descifrado según lo acordado, ya que las víctimas dejarán de enviar pagos si se sabe que no sirven para nada. Un elemento clave para que el ransomware funcione para el atacante es un sistema de pago conveniente y difícil de rastrear. Se han utilizado diversos métodos de pago, incluidas transferencias bancarias , mensajes de texto con tarifas especiales , ^{[24] servicios} de vales prepagos como paysafecard , ^{[7] [25] [26]} y la criptomoneda Bitcoin . ^{[27] [28] [29]}

En mayo de 2020, el proveedor Sophos informó que el costo promedio global para remediar un ataque de ransomware (teniendo en cuenta el tiempo de inactividad, el tiempo de las personas, el costo del dispositivo, el costo de la red, la oportunidad perdida y el rescate pagado) era de 761 106 dólares. El noventa y cinco por ciento de las organizaciones que pagaron el rescate recuperaron sus datos. ^[30]

Historia

Cifrar ransomware

El primer ataque de extorsión con malware conocido, el "troyano SIDA" escrito por Joseph Popp en 1989, tuvo un fallo de diseño tan grave que no fue necesario pagar nada al extorsionador. Su carga útil ocultó los archivos en el disco duro y cifró solo sus nombres , y mostró un mensaje que afirmaba que la licencia del usuario para usar un determinado software había caducado. Se pidió al usuario que pagara 189 dólares a "PC Cyborg Corporation" para obtener una herramienta de reparación, aunque la clave de descifrado se podía extraer del código del troyano. El troyano también se conocía como "PC Cyborg". Popp fue declarado mentalmente incapaz de ser juzgado por sus acciones, pero prometió donar las ganancias del malware para financiar la investigación del SIDA . ^[31]

La idea de abusar de los sistemas de efectivo anónimos para cobrar de forma segura el rescate por secuestros humanos fue introducida en 1992 por Sebastiaan von Solms y David Naccache . ^[32] Este método de recolección de dinero electrónico también se propuso para ataques de extorsión criptovirales. ^[1] En el escenario de von Solms-Naccache se utilizó una publicación de periódico (ya que los libros de contabilidad de bitcoin no existían en el momento en que se escribió el artículo).

La noción de utilizar criptografía de clave pública para ataques de secuestro de datos fue introducida en 1996 por Adam L. Young y Moti Yung . Young y Yung criticaron el fallido troyano de información sobre el SIDA que se basaba únicamente en criptografía simétrica , siendo el error fatal que la clave de descifrado podía extraerse del troyano, e implementaron un criptovirus experimental de prueba de concepto en un Macintosh SE/30 que usaba RSA. y el Tiny Encryption Algorithm (TEA) para cifrar de forma híbrida los datos de la víctima. Dado que se utiliza criptografía de clave pública , el virus sólo contiene la clave de cifrado . El atacante mantiene privada la clave de descifrado privada correspondiente . El criptovirus experimental original de Young y Yung hacía que la víctima enviara el texto cifrado asimétrico al atacante, quien lo descifra y devuelve la clave de descifrado simétrica que contiene a la víctima por una tarifa. Mucho antes de que existiera el dinero electrónico, Young y Yung propusieron que el dinero electrónico también podría ser extorsionado mediante encriptación, afirmando que "el autor del virus puede efectivamente retener todo el dinero del rescate hasta que se le entregue la mitad. Incluso si el dinero electrónico fuera previamente encriptado por el usuario, no le sirve de nada al usuario si es encriptado por un criptovirus". ^[1] Se refirieron a estos ataques como " extorsión criptoviral ", un ataque abierto que es parte de una clase más amplia de ataques en un campo llamado criptovirología , que abarca tanto ataques abiertos como encubiertos. ^[1] El protocolo de extorsión criptoviral se inspiró en la relación parasitaria entre el abrazador de caras de HR Giger y su anfitrión en la película Alien . ^{[1] [16]}

Los ejemplos de ransomware extorsivo se hicieron prominentes en mayo de 2005. ^[33] A mediados de 2006, troyanos como Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip y MayArchive comenzaron a utilizar esquemas de cifrado RSA más sofisticados, con claves cada vez mayores. -tallas. Gpcode.AG, que fue detectado en junio de 2006, estaba cifrado con una clave pública RSA de 660 bits. ^[34] En junio de 2008, se detectó una variante conocida como Gpcode.AK. Utilizando una clave RSA de 1024 bits, se creía que era lo suficientemente grande como para que fuera computacionalmente inviable romperla sin un esfuerzo distribuido concertado. ^{[35] [36] [37] [38]}

El cifrado de ransomware volvió a cobrar importancia a finales de 2013 con la propagación de CryptoLocker , que utiliza la plataforma de moneda digital Bitcoin para cobrar el dinero del rescate. En diciembre de 2013, ZDNet estimó, basándose en información sobre transacciones de Bitcoin, que entre el 15 de octubre y el 18 de diciembre, los operadores de CryptoLocker habían obtenido alrededor de 27 millones de dólares de usuarios infectados. ^[39] La técnica CryptoLocker fue ampliamente copiada en los meses siguientes, incluyendo CryptoLocker 2.0 (que se cree que no está relacionado con CryptoLocker), CryptoDefense (que inicialmente contenía un defecto de diseño importante que almacenaba la clave privada en el sistema infectado en un formato recuperable por el usuario). ubicación , debido a su uso de las API de cifrado integradas de Windows), ^{[28] [40] [41] [42]} y el descubrimiento en agosto de 2014 de un troyano dirigido específicamente a dispositivos de almacenamiento conectados a la red producidos por Synology . ^[43] En enero de 2015, se informó que se habían producido ataques de estilo ransomware contra sitios web individuales mediante piratería informática y mediante ransomware diseñado para atacar servidores web basados ​​en Linux . ^{[44] [45] [46]}

En algunas infecciones, hay una carga útil de dos etapas, común en muchos sistemas de malware. Se engaña al usuario para que ejecute un script, que descarga el virus principal y lo ejecuta. En las primeras versiones del sistema de carga dual, el script estaba contenido en un documento de Microsoft Office con una macro VBScript adjunta o en un archivo de Windows scripting facility (WSF). A medida que los sistemas de detección comenzaron a bloquear estas cargas útiles de la primera etapa, el Centro de protección contra malware de Microsoft identificó una tendencia hacia los archivos LNK con scripts autónomos de Microsoft Windows PowerShell . ^[47] En 2016, se descubrió que PowerShell estaba involucrado en casi el 40 % de los incidentes de seguridad de terminales, ^[48]

Algunas cepas de ransomware han utilizado servidores proxy vinculados a servicios ocultos de Tor para conectarse a sus servidores de comando y control , lo que aumenta la dificultad de rastrear la ubicación exacta de los delincuentes. ^{[49] [50]} Además, los proveedores de la web oscura tienen cada vez más ^{[ ¿cuándo? ]} comenzó a ofrecer la tecnología como un servicio , en el que se vende ransomware, listo para su implementación en las máquinas de las víctimas, mediante suscripción, de manera similar a Adobe Creative Cloud u Office 365. ^{[50] [51] [52]}

Symantec ha clasificado el ransomware como la amenaza cibernética más peligrosa. ^[53]

Ransomware sin cifrado

En agosto de 2010, las autoridades rusas arrestaron a nueve personas relacionadas con un troyano ransomware conocido como WinLock. A diferencia del anterior troyano Gpcode, WinLock no utilizaba cifrado. En cambio, WinLock restringió trivialmente el acceso al sistema mostrando imágenes pornográficas y pidió a los usuarios que enviaran un SMS de tarifa premium (que costaba alrededor de 10 dólares estadounidenses) para recibir un código que podría usarse para desbloquear sus máquinas. La estafa afectó a numerosos usuarios en Rusia y países vecinos y, según se informa, le hizo ganar al grupo más de 16 millones de dólares. ^{[19] [54]}

En 2011, apareció un troyano ransomware que imitaba el aviso de activación de productos de Windows e informaba a los usuarios que la instalación de Windows de un sistema debía reactivarse debido a "[ser] víctima de un fraude". Se ofrecía una opción de activación en línea (como el proceso de activación de Windows real), pero no estaba disponible, lo que requería que el usuario llamara a uno de los seis números internacionales para ingresar un código de 6 dígitos. Si bien el malware afirmó que esta llamada sería gratuita, fue enrutada a través de un operador fraudulento en un país con altas tarifas telefónicas internacionales, quien puso la llamada en espera, lo que provocó que el usuario incurriera en grandes cargos de larga distancia internacional. ^[17]

En 2012, Symantec informó que se había extendido desde Europa del Este un ransomware con una pantalla de bloqueo que pretendía ser una aplicación de la ley que exigía un pago por actividades ilegales. ^[55]

En febrero de 2013, apareció un troyano ransomware basado en el kit de explotación Stamp.EK; El malware se distribuyó a través de sitios alojados en los servicios de alojamiento del proyecto SourceForge y GitHub que afirmaban ofrecer "fotos falsas de desnudos" de celebridades. ^[56] En julio de 2013, apareció un troyano ransomware específico para OS X , que muestra una página web que acusa al usuario de descargar pornografía. A diferencia de sus homólogos basados ​​en Windows, no bloquea todo el ordenador, sino que simplemente explota el comportamiento del propio navegador web para frustrar los intentos de cerrar la página por medios normales. ^[57]

En julio de 2013, un hombre de 21 años de Virginia, cuya computadora casualmente contenía fotografías pornográficas de niñas menores de edad con las que había mantenido comunicaciones sexualizadas, se entregó a la policía después de recibir y ser engañado por el FBI MoneyPak Ransomware acusándolo de poseer pornografía infantil. Una investigación descubrió los archivos incriminatorios y el hombre fue acusado de abuso sexual infantil y posesión de pornografía infantil. ^[58]

Exfiltración (Leakware / Doxware)

Lo contrario del ransomware es un ataque de criptovirología inventado por Adam L. Young que amenaza con publicar información robada del sistema informático de la víctima en lugar de negarle el acceso a ella. ^[59] En un ataque de filtración, el malware filtra datos confidenciales del host al atacante o, alternativamente, a instancias remotas del malware, y el atacante amenaza con publicar los datos de la víctima a menos que se pague un rescate. El ataque se presentó en West Point en 2003 y se resumió en el libro Malicious Cryptography de la siguiente manera: "El ataque se diferencia del ataque de extorsión en lo siguiente. En el ataque de extorsión, a la víctima se le niega el acceso a su propia información valiosa y tiene pagar para recuperarla, mientras que en el ataque que aquí se presenta la víctima retiene el acceso a la información pero su divulgación queda a discreción del virus informático". ^[60] El ataque tiene sus raíces en la teoría de juegos y originalmente se denominó "juegos de suma distinta de cero y malware de supervivencia". El ataque puede generar ganancias monetarias en los casos en que el malware obtiene acceso a información que puede dañar al usuario u organización víctima, por ejemplo, el daño a la reputación que podría resultar de la publicación de pruebas de que el ataque en sí fue un éxito.

Los objetivos comunes de exfiltración incluyen:

• información de terceros almacenada por la víctima principal (como información de la cuenta del cliente o registros médicos);
• información propiedad de la víctima (como secretos comerciales e información del producto)
• información embarazosa (como información de salud de la víctima o información sobre el pasado personal de la víctima)

Los ataques de exfiltración suelen ser dirigidos, con una lista de víctimas seleccionada y, a menudo, una vigilancia preliminar de los sistemas de la víctima para encontrar posibles objetivos de datos y debilidades. ^{[61] [62]}

ransomware móvil

Con la creciente popularidad del ransomware en plataformas de PC, también ha proliferado el ransomware dirigido a sistemas operativos móviles . Normalmente, las cargas útiles del ransomware móvil son bloqueadores, ya que hay pocos incentivos para cifrar datos, ya que se pueden restaurar fácilmente mediante sincronización en línea. ^[63] El ransomware móvil normalmente se dirige a la plataforma Android , ya que permite instalar aplicaciones desde fuentes de terceros. ^{[63] [64]} La carga útil generalmente se distribuye como un archivo APK instalado por un usuario desprevenido; puede intentar mostrar un mensaje de bloqueo sobre todas las demás aplicaciones, ^[64] mientras que otro utilizó una forma de clickjacking para hacer que el usuario le otorgara privilegios de "administrador de dispositivos" para lograr un acceso más profundo al sistema. ^{[sesenta y cinco]}

Se han utilizado diferentes tácticas en dispositivos iOS , como explotar cuentas de iCloud y utilizar el sistema Buscar mi iPhone para bloquear el acceso al dispositivo. ^[66] En iOS 10.3 , Apple corrigió un error en el manejo de ventanas emergentes de JavaScript en Safari que había sido explotado por sitios web de ransomware. ^[67] Recientemente ^{[ ¿cuándo? ]} se ha demostrado que el ransomware también puede apuntar a arquitecturas ARM como las que se pueden encontrar en varios dispositivos de Internet de las cosas (IoT), como los dispositivos de borde de IoT industrial. ^[68]

En agosto de 2019, los investigadores demostraron que es posible infectar cámaras DSLR con ransomware. ^[69] Las cámaras digitales suelen utilizar el protocolo de transferencia de imágenes (PTP, protocolo estándar utilizado para transferir archivos). Los investigadores descubrieron que era posible explotar las vulnerabilidades del protocolo para infectar las cámaras objetivo con ransomware (o ejecutar cualquier código arbitrario). Este ataque se presentó en la conferencia de seguridad Defcon en Las Vegas como una prueba de concepto de ataque (no como malware armado real).

Progresión de ataques

Los primeros ataques fueron contra usuarios aleatorios, generalmente infectados a través de archivos adjuntos de correo electrónico enviados por pequeños grupos de delincuentes, que exigían unos cientos de dólares en criptomonedas para desbloquear archivos (generalmente fotografías y documentos de un individuo privado) que el ransomware había cifrado. A medida que el ransomware maduró como negocio, las bandas organizadas entraron en el campo, anunciando en la web oscura expertos y subcontratando funciones. Esto condujo a una mejora en la calidad del ransomware y su éxito. En lugar de correos electrónicos aleatorios, las pandillas robaron credenciales, encontraron vulnerabilidades en las redes objetivo y mejoraron el malware para evitar la detección por parte de escáneres antimalware. Los rescates exigidos ascendieron a sumas mucho mayores (millones) que una empresa pagaría para recuperar sus datos, en lugar de lo que un individuo pagaría por sus documentos (cientos).

En 2016, se observó un aumento significativo de los ataques de ransomware a hospitales. Según el Informe sobre amenazas a la seguridad en Internet de 2017 de Symantec Corp, el ransomware afectó no solo a los sistemas de TI sino también a la atención al paciente, las operaciones clínicas y la facturación. Los delincuentes en línea pueden estar motivados por el dinero disponible y el sentido de urgencia dentro del sistema de salud. ^[70]

El ransomware está creciendo rápidamente entre los usuarios de Internet, pero también en el entorno de IoT. ^[55] El gran problema es que algunas organizaciones e industrias que han decidido pagar, como el Hollywood Presbyterian Medical Center y MedStar Health, pierden millones de dólares. ^[71]

Según el informe ISTR de Symantec de 2019, por primera vez desde 2013, en 2018 se observó una disminución en la actividad de ransomware con una caída del 20 por ciento. Antes de 2017, los consumidores eran las víctimas preferidas, pero en 2017 esto cambió drásticamente y pasó a las empresas. En 2018 este camino se aceleró con un 81 por ciento de contagios lo que representó un aumento del 12 por ciento. ^[72] El método de distribución común hoy en día se basa en campañas de correo electrónico.

A finales de 2019, el grupo de ransomware Maze descargó archivos confidenciales de las empresas antes de bloquearlos y amenazó con filtrar los datos públicamente si no se pagaba el rescate; en al menos un caso hicieron esto. Siguieron muchas otras pandillas; Se crearon "sitios de filtración" en la web oscura donde se podía acceder a los datos robados. Los ataques posteriores se centraron en la amenaza de filtrar datos, sin necesariamente bloquearlos; esto anuló la protección que brindaban a las víctimas los sólidos procedimientos de respaldo. A partir de 2023 ^[actualizar]existe el riesgo de que gobiernos hostiles utilicen ransomware para ocultar lo que en realidad es recopilación de inteligencia. ^[73]

La primera muerte reportada tras un ataque de ransomware se produjo en un hospital alemán en octubre de 2020. ^[74]

Objetivos de ataque notables

Paquetes de software notables

Revetón

Una carga útil de Reveton, que afirma fraudulentamente que el usuario debe pagar una multa al Servicio de Policía Metropolitana

En 2012, comenzó a propagarse un importante troyano ransomware conocido como Reveton. Basado en el troyano Citadel (que, a su vez, se basa en el troyano Zeus ), su carga útil muestra una advertencia supuestamente de una agencia de aplicación de la ley que afirma que la computadora se ha utilizado para actividades ilegales, como la descarga de software sin licencia o pornografía infantil . Debido a este comportamiento, se le conoce comúnmente como "troyano policial". ^{[75] [76] [77]} La ​​advertencia informa al usuario que para desbloquear su sistema, tendría que pagar una multa utilizando un vale de un servicio de efectivo prepago anónimo como Ukash o paysafecard . Para aumentar la ilusión de que la policía está rastreando la computadora, la pantalla también muestra la dirección IP de la computadora , mientras que algunas versiones muestran imágenes de la cámara web de la víctima para dar la ilusión de que el usuario está siendo grabado. ^{[7] [78]}

Reveton inicialmente comenzó a difundirse en varios países europeos a principios de 2012. ^[7] Las variantes se localizaron con plantillas marcadas con los logotipos de diferentes organizaciones encargadas de hacer cumplir la ley según el país del usuario; por ejemplo, las variantes utilizadas en el Reino Unido contenían la marca de organizaciones como el Servicio de Policía Metropolitana y la Unidad Nacional de Delitos Electrónicos de la Policía . Otra versión contenía el logotipo de la sociedad de recaudación de derechos PRS for Music , que acusaba específicamente al usuario de descargar música ilegalmente. ^[79] En una declaración advirtiendo al público sobre el malware, la Policía Metropolitana aclaró que nunca bloquearían una computadora de esa manera como parte de una investigación. ^{[7] [18]}

En mayo de 2012, los investigadores de amenazas de Trend Micro descubrieron plantillas para variaciones para Estados Unidos y Canadá , lo que sugiere que sus autores pueden haber estado planeando apuntar a usuarios en América del Norte. ^[80] En agosto de 2012, una nueva variante de Reveton comenzó a difundirse en los Estados Unidos, afirmando exigir el pago de una multa de 200 dólares al FBI utilizando una tarjeta MoneyPak . ^{[8] [9] [78]} En febrero de 2013, un ciudadano ruso fue arrestado en Dubai por las autoridades españolas por su conexión con una red criminal que había estado utilizando Reveton; Otras diez personas fueron arrestadas por cargos de lavado de dinero . ^[81] En agosto de 2014, Avast Software informó que había encontrado nuevas variantes de Reveton que también distribuyen malware para robar contraseñas como parte de su carga útil. ^[82]

CriptoLocker

El ransomware de cifrado reapareció en septiembre de 2013 con un troyano conocido como CryptoLocker , que generaba un par de claves RSA de 2048 bits y se cargaba a su vez en un servidor de comando y control, y se utilizaba para cifrar archivos utilizando una lista blanca de extensiones de archivos específicas . El malware amenazaba con eliminar la clave privada si no se realizaba un pago de Bitcoin o un vale en efectivo prepago dentro de los 3 días posteriores a la infección. Debido al tamaño de clave extremadamente grande que utiliza, los analistas y los afectados por el troyano consideraron que CryptoLocker era extremadamente difícil de reparar. ^{[27] [83] [84] [85]} Incluso después de que pasara la fecha límite, la clave privada aún podría obtenerse utilizando una herramienta en línea, pero el precio aumentaría a 10 BTC, que costaba aproximadamente 2300 dólares estadounidenses en noviembre de 2013. ^{[ 86] [87]}

CryptoLocker fue aislado por la incautación de la botnet Gameover ZeuS como parte de la Operación Tovar , como anunció oficialmente el Departamento de Justicia de EE.UU. el 2 de junio de 2014. El Departamento de Justicia también emitió públicamente una acusación contra el hacker ruso Evgeniy Bogachev por su supuesta participación en la red de bots. ^{[88] [89]} Se estimó que se extorsionaron al menos 3 millones de dólares con el malware antes del cierre. ^[12]

CryptoLocker.F y TorrentLocker

En septiembre de 2014, surgió una ola de troyanos ransomware dirigidos por primera vez a usuarios de Australia , bajo los nombres CryptoWall y CryptoLocker (que, al igual que CryptoLocker 2.0, no tiene relación con el CryptoLocker original). Los troyanos se propagan a través de correos electrónicos fraudulentos que afirman ser avisos de entrega de paquetes fallidos del Correo de Australia ; Para evadir la detección de los escáneres automáticos de correo electrónico que siguen todos los enlaces de una página para buscar malware, esta variante fue diseñada para requerir que los usuarios visiten una página web e ingresen un código CAPTCHA antes de que la carga útil se descargue realmente, evitando que dichos procesos automatizados poder escanear la carga útil. Symantec determinó que estas nuevas variantes, que identificó como CryptoLocker.F , nuevamente no estaban relacionadas con el CryptoLocker original debido a diferencias en su funcionamiento. ^{[90] [91]} Una víctima notable de los troyanos fue la Australian Broadcasting Corporation ; La programación en vivo en su canal de noticias de televisión ABC News 24 fue interrumpida durante media hora y trasladada a los estudios de Melbourne debido a una infección CryptoWall en las computadoras de su estudio de Sydney . ^{[92] [93] [94]}

Otro troyano de esta ola, TorrentLocker , inicialmente contenía un defecto de diseño comparable al CryptoDefense; utilizó el mismo flujo de claves para cada computadora infectada, lo que hizo que el cifrado fuera trivial de superar. Sin embargo, este defecto se solucionó posteriormente. ^[40] A finales de noviembre de 2014, se estimaba que más de 9.000 usuarios habían sido infectados por TorrentLocker solo en Australia, sólo detrás de Turquía con 11.700 infecciones. ^[95]

CriptoMuro

Otro importante troyano ransomware dirigido a Windows, CryptoWall, apareció por primera vez en 2014. Una cepa de CryptoWall se distribuyó como parte de una campaña de publicidad maliciosa en la red publicitaria Zedo a finales de septiembre de 2014 dirigida a varios sitios web importantes; los anuncios se redireccionaban a sitios web fraudulentos que utilizaban complementos del navegador para descargar la carga útil. Un investigador de Barracuda Networks también señaló que la carga útil estaba firmada con una firma digital en un esfuerzo por parecer confiable para el software de seguridad. ^[96] CryptoWall 3.0 utilizó una carga útil escrita en JavaScript como parte de un archivo adjunto de correo electrónico, que descarga ejecutables disfrazados de imágenes JPG . Para evadir aún más la detección, el malware crea nuevas instancias de explorer.exe y svchost.exe para comunicarse con sus servidores. Al cifrar archivos, el malware también elimina instantáneas de volumen e instala software espía que roba contraseñas y billeteras de Bitcoin . ^[97]

El FBI informó en junio de 2015 que casi 1.000 víctimas se habían puesto en contacto con el Centro de Denuncias de Delitos en Internet de la oficina para informar sobre infecciones de CryptoWall y estimaron pérdidas de al menos 18 millones de dólares. ^[13]

El más reciente ^{[ ¿cuándo? ]} , CryptoWall 4.0, mejoró su código para evitar la detección de antivirus y cifra no solo los datos de los archivos sino también los nombres de los archivos. ^[98]

fusob

Fusob es una familia importante de ransomware móvil. Entre abril de 2015 y marzo de 2016, alrededor del 56 por ciento del ransomware móvil contabilizado fue Fusob. ^[99]

Como la mayoría de los otros tipos de ransomware, emplea tácticas de miedo para extorsionar al usuario con una suma considerable. ^[100] La aplicación actúa como si fuera un aviso de las autoridades , exigiendo a la víctima que pague una multa de $100 a $200 USD o de lo contrario enfrentará un cargo criminal ficticio. Fusob solicita tarjetas de regalo de iTunes para realizar pagos, a diferencia de la mayoría de los ransomware centrados en criptomonedas.

Para infectar dispositivos, Fusob se hace pasar por un reproductor de vídeos pornográficos. ^[101] Cuando se instala, primero verifica el idioma del sistema del dispositivo. Si el idioma es ruso o de Europa del Este, Fusob permanece inactivo. De lo contrario, bloquea el dispositivo y exige un rescate. Alrededor del 40% de las víctimas se encuentran en Alemania, mientras que el Reino Unido abarca el 14,5% de las víctimas y Estados Unidos el 11,4%. Fusob y Small (otra familia de ransomware) representaron más del 93% del ransomware móvil entre 2015 y 2016.

Quiero llorar

En mayo de 2017, el ataque de ransomware WannaCry se propagó a través de Internet, utilizando un vector de explotación llamado EternalBlue , que supuestamente fue filtrado por la Agencia de Seguridad Nacional de EE. UU . El ataque de ransomware, de escala sin precedentes, ^[102] infectó más de 230.000 computadoras en más de 150 países, ^[103] utilizando 20 idiomas diferentes para exigir dinero a los usuarios que utilizan la criptomoneda Bitcoin . WannaCry exigía 300 dólares por ordenador. ^[104] El ataque afectó a Telefónica y a varias otras grandes empresas en España, así como a partes del Servicio Nacional de Salud británico (NHS), donde al menos 16 hospitales tuvieron que rechazar pacientes o cancelar operaciones programadas, ^[105] FedEx , Deutsche Bahn , Honda , ^[106] Renault , así como el Ministerio del Interior ruso y la empresa de telecomunicaciones rusa MegaFon . ^[107] Los atacantes dieron a sus víctimas un plazo de 7 días a partir del día en que sus computadoras fueron infectadas, después del cual los archivos cifrados se eliminarían. ^[108]

Petia

Petya fue descubierta por primera vez en marzo de 2016; A diferencia de otras formas de cifrado de ransomware, el malware tenía como objetivo infectar el registro de inicio maestro , instalando una carga útil que cifra las tablas de archivos del sistema de archivos NTFS la próxima vez que se inicia el sistema infectado, bloqueando el inicio del sistema en Windows hasta el momento. se paga el rescate. Check Point informó que a pesar de lo que creía que era una evolución innovadora en el diseño de ransomware, había resultado en relativamente menos infecciones que otros ransomware activos en el mismo período de tiempo. ^[109]

El 27 de junio de 2017, se utilizó una versión muy modificada de Petya para un ciberataque global dirigido principalmente a Ucrania (pero que afectó a muchos países ^[110] ). Esta versión se modificó para propagarse utilizando el mismo exploit EternalBlue que utilizó WannaCry. Debido a otro cambio de diseño, tampoco puede desbloquear un sistema después de pagar el rescate; Esto llevó a los analistas de seguridad a especular que el ataque no tenía como objetivo generar ganancias ilícitas, sino simplemente causar interrupciones. ^{[111] [112]}

Conejo malo

El 24 de octubre de 2017, algunos usuarios en Rusia y Ucrania informaron de un nuevo ataque de ransomware, llamado "Bad Rabbit", que sigue un patrón similar al de WannaCry y Petya al cifrar las tablas de archivos del usuario y luego exige un pago de Bitcoin para descifrarlos. ESET creía que el ransomware se había distribuido mediante una actualización falsa del software Adobe Flash . ^[113] Entre las agencias que se vieron afectadas por el ransomware se encuentran: Interfax , el Aeropuerto Internacional de Odesa , el Metro de Kiev y el Ministerio de Infraestructura de Ucrania. ^[114] Dado que utilizó estructuras de redes corporativas para propagarse, el ransomware también se descubrió en otros países, incluidos Turquía, Alemania, Polonia, Japón, Corea del Sur y Estados Unidos. ^[115] Los expertos creían que el ataque de ransomware estaba relacionado con el ataque de Petya en Ucrania (especialmente porque el código de Bad Rabbit tiene muchos elementos superpuestos y analógicos al código de Petya/NotPetya, [ ^116] adjunto a CrowdStrike Bad Rabbit y la DLL de NotPetya (enlace dinámico biblioteca) comparten el 67 por ciento del mismo código ^[117] ), aunque la única identidad de los culpables son los nombres de los personajes de la serie Juego de Tronos incrustados en el código. ^[115]

Los expertos en seguridad descubrieron que el ransomware no utilizó el exploit EternalBlue para propagarse, y el 24 de octubre de 2017 se encontró un método simple para inocular una máquina no afectada que ejecuta versiones anteriores de Windows. ^{[118] [119]} Además, los sitios que se habían utilizado para difundir la actualización falsa de Flash se desconectó o eliminó los archivos problemáticos a los pocos días de su descubrimiento, eliminando efectivamente la propagación de Bad Rabbit. ^[115]

Sam Sam

En 2016, surgió una nueva cepa de ransomware dirigida a los servidores JBoss . ^[120] Se descubrió que esta cepa, denominada "SamSam", evita el proceso de phishing o descargas ilícitas a favor de explotar vulnerabilidades en servidores débiles. ^[121] El malware utiliza un ataque de fuerza bruta del Protocolo de escritorio remoto para adivinar contraseñas débiles hasta que se rompe una. El virus ha estado detrás de ataques contra objetivos gubernamentales y de atención médica, con ataques notables contra la ciudad de Farmington, Nuevo México , el Departamento de Transporte de Colorado , el condado de Davidson, Carolina del Norte y, más recientemente, ^{[ ¿cuándo? ]} , un ataque de ransomware a la infraestructura de Atlanta . ^[121]

Mohammad Mehdi Shah Mansouri (nacido en Qom , Irán en 1991) y Faramarz Shahi Savandi (nacido en Shiraz , Irán , en 1984) son buscados por el FBI por supuestamente lanzar el ransomware SamSam. ^[122] Los dos supuestamente ganaron $6 millones por extorsión y causaron más de $30 millones en daños usando el malware. ^[123]

Lado oscuro

El 7 de mayo de 2021 se ejecutó un ciberataque al Colonial Pipeline de Estados Unidos. La Oficina Federal de Investigaciones identificó a DarkSide como el autor del ataque de ransomware Colonial Pipeline , perpetrado mediante código malicioso , que provocó el cierre voluntario del oleoducto principal que suministra el 45% del combustible a la costa este de Estados Unidos . El ataque fue descrito como el peor ciberataque hasta la fecha a la infraestructura crítica de Estados Unidos . DarkSide extorsionó con éxito alrededor de 75 Bitcoin (casi 5 millones de dólares) de Colonial Pipeline. Los funcionarios estadounidenses están investigando si el ataque fue puramente criminal o tuvo lugar con la participación del gobierno ruso u otro estado patrocinador. Tras el ataque, DarkSide publicó una declaración afirmando que "Somos apolíticos, no participamos en la geopolítica... Nuestro objetivo es ganar dinero y no crear problemas para la sociedad".

En mayo de 2021, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron una alerta conjunta instando a los propietarios y operadores de infraestructura crítica a tomar ciertas medidas para reducir su vulnerabilidad al ransomware DarkSide y al ransomware en general.

clave de sistema

Syskey es una utilidad que se incluyó con los sistemas operativos basados ​​en Windows NT para cifrar la base de datos de cuentas de usuario , opcionalmente con una contraseña. En ocasiones, la herramienta se ha utilizado eficazmente como ransomware durante estafas de soporte técnico , donde una persona que llama con acceso remoto a la computadora puede usar la herramienta para bloquear al usuario fuera de su computadora con una contraseña que solo él conoce. ^[124] Syskey se eliminó de versiones posteriores de Windows 10 y Windows Server en 2017, debido a que estaba obsoleto y "se sabe que lo utilizan los piratas informáticos como parte de estafas de ransomware". ^{[125] [126]}

Ransomware como servicio

El ransomware como servicio (RaaS) se convirtió en un método notable después de que el grupo REvil , con sede en Rusia ^[127] o de habla rusa ^[128] , organizara operaciones contra varios objetivos, incluido JBS SA , con sede en Brasil , en mayo de 2021, y el Kaseya Limited , con sede en Estados Unidos, en julio de 2021. ^[129] Después de una llamada telefónica el 9 de julio de 2021 entre el presidente estadounidense Joe Biden y el presidente ruso Vladimir Putin , Biden dijo a la prensa: "Le dejé muy claro que Estados Unidos espera Cuando una operación de ransomware proviene de su territorio a pesar de que no está patrocinada por el estado, esperamos que actúen si les damos suficiente información para determinar quién es". Biden añadió más tarde que Estados Unidos cerraría los servidores del grupo si Putin no lo hacía. ^{[130] [131]} Cuatro días después, los sitios web de REvil y otra infraestructura desaparecieron de Internet. ^[132]

Mitigación

Si se sospecha o se detecta un ataque en sus primeras etapas, el cifrado tarda algún tiempo en realizarse; La eliminación inmediata del malware (un proceso relativamente simple) antes de que se complete detendría más daños a los datos, sin recuperar los ya perdidos. ^{[133] [134]}

Los expertos en seguridad han sugerido medidas de precaución para hacer frente al ransomware. El uso de software u otras políticas de seguridad para bloquear el lanzamiento de cargas útiles conocidas ayudará a prevenir infecciones, pero no protegerá contra todos los ataques ^{[27] [135]} Como tal, tener una solución de respaldo adecuada es un componente crítico para defenderse contra el ransomware. Tenga en cuenta que, debido a que muchos atacantes de ransomware no solo cifrarán la máquina activa de la víctima, sino que también intentarán eliminar cualquier copia de seguridad almacenada localmente o accesible a través de la red en un NAS , también es fundamental mantener copias de seguridad "fuera de línea" de los datos almacenados en Las ubicaciones inaccesibles desde cualquier computadora potencialmente infectada , como unidades de almacenamiento externas o dispositivos que no tienen acceso a ninguna red (incluido Internet) , impiden que el ransomware acceda a ellas. Además, si utiliza un almacenamiento NAS o en la nube , entonces la computadora debe tener permiso para agregar solo al almacenamiento de destino, de modo que no pueda eliminar ni sobrescribir copias de seguridad anteriores. Según comodo , la aplicación de dos reducciones de superficie de ataque en el sistema operativo / kernel proporciona una superficie de ataque materialmente reducida que da como resultado una mayor postura de seguridad. ^{[136] [137] [138]}

La instalación de actualizaciones de seguridad emitidas por proveedores de software puede mitigar las vulnerabilidades que aprovechan ciertas cepas para propagarse. ^{[139] [140] [141] [142] [143]} Otras medidas incluyen higiene cibernética : tener cuidado al abrir archivos adjuntos y enlaces de correo electrónico , segmentación de redes y mantener las computadoras críticas aisladas de las redes. ^{[144] [145]} Además, para mitigar la propagación de ransomware se pueden aplicar medidas de control de infecciones . ^[146] Esto puede incluir desconectar las máquinas infectadas de todas las redes, programas educativos, ^[147] canales de comunicación efectivos, vigilancia de malware ^{[¿ investigación original? ]} y formas de participación colectiva ^[146]

En agosto de 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un informe que brindaba orientación sobre cómo mitigar los ataques de ransomware. Esto se debió a un aumento significativo en los ataques recientes relacionados con ransomware. Estos ataques incluyeron una agresión contra una empresa de oleoductos estadounidense y una empresa de software, que afectó a los clientes intermedios de los MSP . ^[148]

Defensas del sistema de archivos contra ransomware

Varios sistemas de archivos guardan instantáneas de los datos que contienen, que pueden usarse para recuperar el contenido de los archivos de un momento anterior al ataque de ransomware en caso de que el ransomware no lo desactive.

• En Windows, la instantánea de volumen (VSS) se utiliza a menudo para almacenar copias de seguridad de datos; El ransomware a menudo apunta a estas instantáneas para evitar la recuperación y, por lo tanto, a menudo es recomendable deshabilitar el acceso de los usuarios a la herramienta de usuario VSSadmin.exe para reducir el riesgo de que el ransomware pueda deshabilitar o eliminar copias anteriores.
• En Windows 10, los usuarios pueden agregar directorios o archivos específicos al acceso controlado a carpetas en Windows Defender para protegerlos del ransomware. ^[149] Se recomienda agregar copias de seguridad y otros directorios importantes al acceso controlado a carpetas.
• A menos que el malware se arraigue en el sistema host ZFS al implementar un ataque codificado para emitir comandos administrativos ZFS, los servidores de archivos que ejecutan ZFS son ampliamente inmunes al ransomware, porque ZFS es capaz de tomar instantáneas incluso de un sistema de archivos grande muchas veces por hora, y estas instantáneas son inmutable (solo lectura) y fácilmente revertido o archivos recuperados en caso de corrupción de datos. ^[150] En general, solo un administrador puede eliminar (pero no puede modificar) instantáneas.

Descifrado y recuperación de archivos

Hay una serie de herramientas diseñadas específicamente para descifrar archivos bloqueados por ransomware, aunque es posible que no sea posible una recuperación exitosa. ^{[2] [151]} Si se utiliza la misma clave de cifrado para todos los archivos, las herramientas de descifrado utilizan archivos para los cuales hay copias de seguridad no corruptas y copias cifradas (un ataque de texto sin formato conocido en la jerga del criptoanálisis . Pero solo funciona cuando el cifrado el atacante utilizado era débil para empezar, siendo vulnerable a ataques de texto plano conocido); La recuperación de la clave, si es posible, puede tardar varios días. ^[152] Las herramientas gratuitas de descifrado de ransomware pueden ayudar a descifrar archivos cifrados por las siguientes formas de ransomware: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear , Jigsaw, LambdaLocker , Legión, NoobCrypt, Stampado, SZFLocker, TeslaCrypt , XData. ^[153] El cifrado de ransomware que ha sido descifrado por investigadores de seguridad normalmente se abandona con fines delictivos; por lo tanto, en la práctica la mayoría de los ataques no pueden revertirse rompiendo el cifrado. ^[154]

El proyecto No More Ransom es una iniciativa de la Unidad Nacional de Delitos de Alta Tecnología de la policía de los Países Bajos , el Centro Europeo de Ciberdelincuencia de Europol , Kaspersky Lab y McAfee para ayudar a las víctimas de ransomware a recuperar sus datos sin pagar un rescate. ^[155] Ofrecen una herramienta CryptoSheriff gratuita para analizar archivos cifrados y buscar herramientas de descifrado. ^[156]

Además, es posible que en el disco existan copias antiguas de archivos que se hayan eliminado previamente. En algunos casos, es posible que estas versiones eliminadas aún se puedan recuperar utilizando un software diseñado para ese fin .

Una investigación de ProPublica de 2019 encontró que las empresas de ciberseguridad Proven Data Recovery y Monstercloud, que anunciaban servicios de descifrado sin rescate, normalmente simplemente pagaban el rescate y cobraban a la víctima un precio más alto. ^[154] Los piratas informáticos de SamSam trataron con Proven Data con tanta frecuencia que recomendarían la empresa a las víctimas que tuvieran dificultades técnicas para realizar el pago. ^[154] Otras empresas como Coveware fueron más transparentes al ofrecer el servicio de pagar a los piratas informáticos y parchear sistemas inseguros. ^[154] Muchas víctimas estadounidenses descubrieron que el monto del rescate era demasiado bajo para alcanzar el umbral del Departamento de Justicia de los Estados Unidos para la participación federal, pero que la policía local carecía de las capacidades técnicas para ayudar y, a menudo, eran ellas mismas víctimas. ^[154]

Arrestos y condenas penales

Zain Qaiser

Un estudiante británico, Zain Qaiser, de Barking, Londres, fue encarcelado durante más de seis años en el Tribunal de la Corona de Kingston upon Thames por sus ataques de ransomware en 2019. ^[157] Se dice que fue "el ciberdelincuente más prolífico sentenciado en el Reino Unido". Se volvió activo cuando solo tenía 17 años. Se puso en contacto con el controlador ruso de uno de los ataques más poderosos, que se cree que es la banda de malware Lurk, y arregló una división de sus ganancias. También se puso en contacto con delincuentes en línea de China y Estados Unidos para mover el dinero. ^[157] Durante aproximadamente un año y medio, se hizo pasar por un proveedor legítimo de promociones en línea de publicidad de libros en algunos de los sitios web de pornografía legal más visitados del mundo. Cada uno de los anuncios promocionados en los sitios web contenía la cepa Reveton Ransomware del malicioso Angler Exploit Kit (AEK) ^[158] que tomó el control de la máquina. Los investigadores descubrieron alrededor de £700.000 en ganancias, aunque su red puede haber ganado más de £4 millones. Es posible que haya escondido algo de dinero utilizando criptomonedas. El ransomware indicaría a las víctimas que compraran vales GreenDot MoneyPak e ingresaran el código en el panel de Reveton que se muestra en la pantalla. Este dinero ingresó a una cuenta MoneyPak administrada por Qaiser, quien luego depositaría los pagos de los vales en la cuenta de tarjeta de débito de su cómplice estadounidense, Raymond Odigie Uadiale. Uadiale fue estudiante de la Universidad Internacional de Florida durante 2012 y 2013 y posteriormente trabajó para Microsoft. Uadiale convertiría el dinero en moneda digital Liberty Reserve y lo depositaría en la cuenta Liberty Reserve de Qaiser. ^[159]

Un gran avance, en este caso, se produjo en mayo de 2013 cuando autoridades de varios países confiscaron los servidores de Liberty Reserve, obteniendo acceso a todas sus transacciones e historial de cuentas. Qaiser estaba ejecutando máquinas virtuales cifradas en su Macbook Pro con sistemas operativos Mac y Windows. ^[160] No pudo ser juzgado antes porque fue internado (internado involuntariamente) bajo la Ley de Salud Mental del Reino Unido de 1983 en el Hospital Goodmayes , donde se descubrió que estaba usando el Wi-Fi del hospital para acceder a sus sitios publicitarios. Su abogado afirmó que Qaiser padecía una enfermedad mental. ^[157] La ​​policía rusa arrestó a 50 miembros de la banda de malware Lurk en junio de 2016. ^[161] Uadiale, un ciudadano estadounidense naturalizado de ascendencia nigeriana, fue encarcelado durante 18 meses. ^[162]

Desafíos de la libertad de expresión y castigo penal

La publicación de código de ataque de prueba de concepto es común entre los investigadores académicos y los investigadores de vulnerabilidades. Enseña la naturaleza de la amenaza, transmite la gravedad de los problemas y permite idear y aplicar contramedidas. Sin embargo, los legisladores, con el apoyo de los organismos encargados de hacer cumplir la ley, están considerando ilegalizar la creación de ransomware. En el estado de Maryland, el borrador original de la HB 340 tipificaba como delito grave la creación de ransomware, penado con hasta 10 años de prisión. ^[163] Sin embargo, esta disposición fue eliminada de la versión final del proyecto de ley. ^{[ cita necesaria ]} Un menor en Japón fue arrestado por crear y distribuir código ransomware. ^[164] Young y Yung han tenido el código fuente ANSI C de un criptotroyano ransomware en línea, en cryptovirology.com, desde 2005 como parte de un libro de criptovirología que se estaba escribiendo. El código fuente del criptotroyano todavía está disponible en Internet y está asociado con un borrador del Capítulo 2. ^[165]

Ver también

• Ataque de ransomware Colonial Pipeline  : ataque de ransomware al sistema de oleoductos estadounidense
• BlueKeep (vulnerabilidad de seguridad)  : agujero de seguridad de WindowsPáginas que muestran descripciones breves de los objetivos de redireccionamiento
• Política arriesgada  : táctica política y militar
• Hitler-Ransomware  : forma de ransomware
• Jigsaw (ransomware)  : ransomware de cifrado creado en 2016
• Solo agregar  : propiedad del almacenamiento de datos informáticos
• Riskware  : software que representa un riesgo para una computadora host
• Ryuk (ransomware)  : tipo de ransomware
• Ingeniería de confiabilidad  : subdisciplina de la ingeniería de sistemas que enfatiza la confiabilidad
• Air gap (redes)  : medida de seguridad de la red
• Redundancia de datos  : presencia de datos adicionales a los datos reales que pueden permitir la corrección de errores en los datos almacenados o transmitidos.Páginas que muestran descripciones de wikidata como alternativa
• Tolerancia a fallos  : resiliencia de los sistemas ante fallos o errores de componentes.
• Fiabilidad (redes de computadoras)  : capacidad de reconocimiento de protocolo
• Red unidireccional  : dispositivo de red que permite el flujo de datos en una sola dirección.
• Sistema informático tolerante a fallas  : resistencia de los sistemas a fallas o errores de componentes.Páginas que muestran descripciones breves de los objetivos de redireccionamiento
• Falla bizantina  : falla en un sistema informático que presenta diferentes síntomas para diferentes observadores.
• Acuerdo bizantino cuántico  : versión cuántica del protocolo del acuerdo bizantino
• El problema de los dos generales  : experimento mental
• The Ransomware Hunting Team  : libro de no ficción de 2022 de Renee Dudley y Daniel Golden
• Corredor de acceso inicial

Referencias

1. Joven, A.; M.Yung (1996). Criptovirología: amenazas y contramedidas a la seguridad basadas en extorsión . Simposio IEEE sobre seguridad y privacidad. págs. 129-140. doi :10.1109/SECPRI.1996.502676. ISBN 0-8186-7417-2.
2. Schofield, Jack (28 de julio de 2016). "¿Cómo puedo eliminar una infección de ransomware?". El guardián . Consultado el 28 de julio de 2016 .
3. Mimoso, Michael (28 de marzo de 2016). "Cifrado de tabla de archivos maestros de Petya Ransomware". Threatpost.com . Consultado el 28 de julio de 2016 .
4. Justin Luna (21 de septiembre de 2016). "Mamba ransomware cifra su disco duro y manipula el proceso de arranque". Newlin . Consultado el 5 de noviembre de 2016 .
5. Min, Donghyun; Ko, Yungwoo; Caminante, Ryan; Lee, Junghee; Kim, Youngjae (julio de 2022). "Una unidad de estado sólido de respaldo y detección de ransomware basada en contenido para defensa contra ransomware". Transacciones IEEE sobre diseño asistido por computadora de circuitos y sistemas integrados . 41 (7): 2038-2051. doi :10.1109/TCAD.2021.3099084. ISSN  0278-0070. S2CID  237683171.
6. Cameron, Dell (13 de mayo de 2017). "El ataque masivo de ransomware de hoy se pudo prevenir en su mayor parte; aquí se explica cómo evitarlo". Gizmodo . Consultado el 13 de mayo de 2017 .
7. Dunn, John E. "Los troyanos de rescate se extienden más allá del corazón de Rusia". Mundo tecnológico. Archivado desde el original el 2 de julio de 2014 . Consultado el 10 de marzo de 2012 .
8. "Nueva estafa en Internet: ransomware ..." FBI. 9 de agosto de 2012.
9. "El malware Citadel continúa entregando ransomware Reveton ..." Centro de quejas sobre delitos en Internet (IC3). 30 de noviembre de 2012.
10. "El ransomware ha vuelto a lo grande, 181,5 millones de ataques desde enero". Ayuda a la seguridad de la red . 11 de julio de 2018 . Consultado el 20 de octubre de 2018 .
11. "Actualización: McAfee: los ciberdelincuentes son los que más utilizan malware y ransomware para Android". InfoMundo . 3 de junio de 2013 . Consultado el 16 de septiembre de 2013 .
12. "Las víctimas de Cryptolocker recuperarán archivos de forma gratuita". Noticias de la BBC. 6 de agosto de 2014 . Consultado el 18 de agosto de 2014 .
13. "El FBI dice que el ransomware criptográfico ha recaudado> 18 millones de dólares para los ciberdelincuentes". Ars Técnica . 25 de junio de 2015 . Consultado el 25 de junio de 2015 .
14. "Informe sobre delitos en Internet 2020" (PDF) . Ic3.gov . Consultado el 1 de marzo de 2022 .
15. "Número de ataques de ransomware por año 2022". Estatista . Consultado el 4 de junio de 2023 .
16. Young, Adam L.; Yung, Moti (2017). "Criptovirología: el nacimiento, el abandono y la explosión del ransomware". Comunicaciones de la ACM . 60 (7): 24–26 . Consultado el 27 de junio de 2017 .
17. "El ransomware exprime a los usuarios con una demanda falsa de activación de Windows". Mundo de la informática . 11 de abril de 2011 . Consultado el 9 de marzo de 2012 .
18. "La policía advierte sobre mensajes de extorsión enviados en su nombre". Helsingin Sanomat . Consultado el 9 de marzo de 2012 .
19. McMillian, Robert (31 de agosto de 2010). "Presunta banda de ransomware investigada por la policía de Moscú". Mundo PC . Archivado desde el original el 4 de noviembre de 2010 . Consultado el 10 de marzo de 2012 .
20. "Ransomware: aviso falso de la policía federal alemana (BKA)". Lista Segura (Kaspersky Lab) . Consultado el 10 de marzo de 2012 .
21. "Y ahora, un ransomware MBR". Lista Segura (Kaspersky Lab) . Consultado el 10 de marzo de 2012 .
22. Adam joven (2005). Zhou, Jianying; López, Javier (eds.). "Construcción de un criptovirus utilizando la API criptográfica de Microsoft". Seguridad de la información: Octava Conferencia Internacional, ISC 2005 . Springer-Verlag . págs. 389–401.
23. Joven, Adán (2006). "Extorsión criptoviral utilizando la Crypto API de Microsoft: ¿Pueden las Crypto API ayudar al enemigo?". Revista Internacional de Seguridad de la Información . 5 (2): 67–76. doi :10.1007/s10207-006-0082-7. S2CID  12990192.
24. Danchev, Dancho (22 de abril de 2009). "El nuevo ransomware bloquea las PC y exige SMS premium para su eliminación". ZDNet . Archivado desde el original el 26 de abril de 2009 . Consultado el 2 de mayo de 2009 .
25. "El ransomware reproduce una tarjeta de Windows pirateada y exige 143 dólares". Mundo de la informática . 6 de septiembre de 2011 . Consultado el 9 de marzo de 2012 .
26. Cheng, Jacqui (18 de julio de 2007). "Nuevos troyanos: ¡danos 300 dólares o se quedarán con los datos!". Ars Técnica . Consultado el 16 de abril de 2009 .
27. "Estás infectado; si quieres volver a ver tus datos, páganos 300 dólares en Bitcoins". Ars Técnica . 17 de octubre de 2013 . Consultado el 23 de octubre de 2013 .
28. "CryptoDefense ransomware deja accesible la clave de descifrado". Mundo de la informática . IDG. Abril de 2014 . Consultado el 7 de abril de 2014 .
29. "¿Qué hacer si ataca un ransomware en su computadora con Windows?". Lema técnico . Archivado desde el original el 23 de mayo de 2016 . Consultado el 25 de abril de 2016 .
30. Adam, Sally (12 de mayo de 2020). "El estado del ransomware 2020". Noticias de Sophos . Consultado el 18 de septiembre de 2020 .
31. Kassner, Michael. "Ransomware: extorsión a través de Internet". República Tecnológica . Consultado el 10 de marzo de 2012 .
32. Sebastián von Solms; David Naccache (1992). "Sobre las firmas ciegas y los crímenes perfectos" (PDF) . Computadoras y seguridad . 11 (6): 581–583. doi :10.1016/0167-4048(92)90193-U. S2CID  23153906. Archivado desde el original (PDF) el 26 de octubre de 2017 . Consultado el 25 de octubre de 2017 .
33. Schably, Susan (26 de septiembre de 2005). "Archivos para pedir rescate". Mundo de la Red . Consultado el 17 de abril de 2009 .
34. Leyden, John (24 de julio de 2006). "El ransomware es cada vez más difícil de descifrar". El registro . Consultado el 18 de abril de 2009 .
35. Naraine, Ryan (6 de junio de 2008). "El ransomware Blackmail regresa con una clave de cifrado de 1024 bits". ZDNet . Archivado desde el original el 3 de agosto de 2008 . Consultado el 3 de mayo de 2009 .
36. Lemos, Robert (13 de junio de 2008). "Ransomware resiste los esfuerzos de descifrado de criptomonedas". Enfoque de seguridad . Consultado el 18 de abril de 2009 .
37. Krebs, Brian (9 de junio de 2008). "El ransomware cifra los archivos de la víctima con una clave de 1024 bits". El Washington Post . Consultado el 16 de abril de 2009 .
38. "Kaspersky Lab informa sobre un nuevo y peligroso virus de chantaje". Laboratorio Kaspersky . 5 de junio de 2008 . Consultado el 11 de junio de 2008 .
39. Azul violeta (22 de diciembre de 2013). "La ola de crímenes de CryptoLocker: un rastro de millones en Bitcoin lavados". ZDNet . Consultado el 23 de diciembre de 2013 .
40. "Error de cifrado solucionado en el malware de bloqueo de archivos TorrentLocker". Mundo PC . 17 de septiembre de 2014 . Consultado el 15 de octubre de 2014 .
41. "Cryptolocker 2.0: ¿nueva versión o imitación?". VivimosLaSeguridad . ESET. 19 de diciembre de 2013 . Consultado el 18 de enero de 2014 .
42. "El nuevo CryptoLocker se propaga a través de unidades extraíbles". Tendencia Micro. 26 de diciembre de 2013. Archivado desde el original el 4 de noviembre de 2016 . Consultado el 18 de enero de 2014 .
43. "Los dispositivos Synology NAS atacados por piratas informáticos exigen un rescate en Bitcoin para descifrar archivos". Tecnología extrema . Medios de Ziff Davis. Archivado desde el original el 19 de agosto de 2014 . Consultado el 18 de agosto de 2014 .
44. "El ransomware de cifrado de archivos comienza a apuntar a servidores web Linux". Mundo PC . IDG. 9 de noviembre de 2015 . Consultado el 31 de mayo de 2016 .
45. "Los ciberdelincuentes cifran bases de datos de sitios web en ataques" RansomWeb ". Semana de la seguridad . Archivado desde el original el 20 de abril de 2017 . Consultado el 31 de mayo de 2016 .
46. "Los piratas informáticos exigen un rescate por los sitios web cambiando sus claves de cifrado". El guardián . Consultado el 31 de mayo de 2016 .
47. "El nuevo .LNK entre el spam y la infección Locky". Blogs.technet.microsoft.com . 19 de octubre de 2016 . Consultado el 25 de octubre de 2017 .
48. Muncaster, Phil (13 de abril de 2016). "Exploits de PowerShell detectados en más de un tercio de los ataques".
49. "El nuevo ransomware emplea Tor para permanecer oculto a la seguridad". El guardián . Consultado el 31 de mayo de 2016 .
50. "El estado actual del ransomware: CTB-Locker". Blog de Sophos . Sofos. 31 de diciembre de 2015 . Consultado el 31 de mayo de 2016 .
51. Brook, Chris (4 de junio de 2015). "El autor detrás de Ransomware Tox renuncia y vende plataforma" . Consultado el 6 de agosto de 2015 .
52. Dela Paz, Roland (29 de julio de 2015). "Encryptor RaaS: otro nuevo ransomware como servicio en el bloque". Archivado desde el original el 2 de agosto de 2015 . Consultado el 6 de agosto de 2015 .
53. "Symantec clasifica el ransomware como la amenaza cibernética más peligrosa: Tech2". 22 de septiembre de 2016. Archivado desde el original el 25 de abril de 2017 . Consultado el 22 de septiembre de 2016 .
54. Leyden, John. "La policía rusa esposa a 10 sospechosos de troyanos ransomware". El registro . Consultado el 10 de marzo de 2012 .
55. O'Gorman, G.; McDonald, G. (2012), Ransonmware: A Growing Menace (PDF) , Symantec Security Response, Symantec Corporation , consultado el 5 de octubre de 2019
56. "Los delincuentes impulsan el ransomware alojado en páginas de GitHub y SourceForge enviando spam con 'fotos falsas de desnudos' de celebridades". La próxima web . 7 de febrero de 2013 . Consultado el 17 de julio de 2013 .
57. "El nuevo malware de OS X retiene las Mac para pedir un rescate y exige una multa de 300 dólares al FBI por 'ver o distribuir' pornografía". La próxima web . 15 de julio de 2013 . Consultado el 17 de julio de 2013 .
58. "Un hombre recibe una ventana emergente de pornografía con ransomware, acude a la policía y es arrestado por cargos de pornografía infantil". Ars Técnica . 26 de julio de 2013 . Consultado el 31 de julio de 2013 .
59. Joven, A. (2003). Juegos de suma distinta de cero y malware que se puede sobrevivir . Taller de aseguramiento de la información de sistemas IEEE, el hombre y la sociedad cibernética. págs. 24-29.
60. A. joven, M. Yung (2004). Criptografía maliciosa: exponiendo la criptovirología . Wiley. ISBN 978-0-7645-4975-5.
61. Arntz, Pieter (10 de julio de 2020). "Amenaza destacada: WastedLocker, ransomware personalizado". Laboratorios Malwarebytes . Consultado el 27 de julio de 2020 .
62. Ricker, Thomas (27 de julio de 2020). "Garmin confirma el ciberataque cuando los sistemas de seguimiento del estado físico vuelven a estar en línea". El borde . Consultado el 27 de julio de 2020 .
63. "Ransomware en dispositivos móviles: knock-knock-block". Laboratorio Kaspersky . Consultado el 6 de diciembre de 2016 .
64. "Su teléfono Android vio pornografía ilegal. Para desbloquearlo, pague una multa de $ 300". Ars Técnica . 6 de mayo de 2014 . Consultado el 9 de abril de 2017 .
65. "El nuevo ransomware de Android utiliza clickjacking para obtener privilegios de administrador". Mundo PC . 27 de enero de 2016 . Consultado el 9 de abril de 2017 .
66. "Aquí se explica cómo superar el ransomware de iPhone recién descubierto". Fortuna . Consultado el 9 de abril de 2017 .
67. "Los estafadores de ransomware aprovecharon el error de Safari para extorsionar a los usuarios de iOS que ven pornografía". Ars Técnica . 28 de marzo de 2017 . Consultado el 9 de abril de 2017 .
68. Al-Hawawreh, Muna; den Hartog, Frank; Sitnikova, Elena (2019). "Ransomware dirigido: una nueva amenaza cibernética al sistema perimetral del Internet de las cosas industrial Brownfield". Revista IEEE de Internet de las cosas . 6 (4): 7137–7151. doi :10.1109/JIOT.2019.2914390. S2CID  155469264.
69. Palmer, Danny. "Así es como el ransomware podría infectar tu cámara digital". ZDNet . Consultado el 13 de agosto de 2019 .
70. Robeznieks, A. (2017). "El ransomware convierte la ciberseguridad sanitaria en un problema de atención al paciente". Noticias de negocios de atención médica . Asociación de Gestión Financiera de la Salud. Archivado desde el original el 16 de junio de 2017.
71. Heater, Brian (13 de abril de 2016), "La creciente amenaza del ransomware" (PDF) , PC Magazine , consultado el 5 de octubre de 2019
72. "La actividad comienza a disminuir, pero sigue siendo un desafío para las organizaciones", Informe sobre amenazas a la seguridad en Internet (ISTR) 2019 , Symantec Corporation, vol. 24, pág. 16 de octubre de 2019 , recuperado 5 de octubre 2019
73. Dudley, Renee (17 de julio de 2023). "¿Quiénes son las bandas de ransomware que causan estragos en las empresas más grandes del mundo?". El guardián .
74. Primera muerte reportada tras un ataque de ransomware en un hospital alemán, ZDNet , consultado el 5 de octubre de 2020
75. "Gardaí advierte sobre el virus de bloqueo informático 'Police Trojan'". El diario.es decir . Consultado el 31 de mayo de 2016 .
76. "El experto en informática de Barrie ve un aumento en los efectos del nuevo ransomware". Examinador de Barrie . Red Postmedia . Consultado el 31 de mayo de 2016 .
77. "El troyano policía falso 'detecta materiales ofensivos' en las PC y exige dinero". El registro . Consultado el 15 de agosto de 2012 .
78. "Reveton Malware congela las PC y exige pago". Semana de la Información . Consultado el 16 de agosto de 2012 .
79. Dunn, John E. "Alerta de la policía después de que el troyano de rescate bloquea 1100 PC". Mundo tecnológico. Archivado desde el original el 2 de julio de 2014 . Consultado el 16 de agosto de 2012 .
80. Constantian, Lucian (9 de mayo de 2012). "El ransomware con temática policial comienza a apuntar a usuarios estadounidenses y canadienses". Mundo PC . Consultado el 11 de mayo de 2012 .
81. "El jefe de la banda de malware Reveton 'rescate policial' arrestado en Dubai". Mundo tecnológico . Archivado desde el original el 14 de diciembre de 2014 . Consultado el 18 de octubre de 2014 .
82. " Ransomware ' Reveton' actualizado con un potente ladrón de contraseñas" . Mundo PC . 19 de agosto de 2014 . Consultado el 18 de octubre de 2014 .
83. "El malware Cryptolocker que cifra el disco exige 300 dólares para descifrar sus archivos". Geek.com . 11 de septiembre de 2013. Archivado desde el original el 4 de noviembre de 2016 . Consultado el 12 de septiembre de 2013 .
84. Ferguson, Donna (19 de octubre de 2013). "Ataques de CryptoLocker que exigen un rescate por su computadora". El guardián . Consultado el 23 de octubre de 2013 .
85. "El malware destructivo" CryptoLocker "anda suelto: esto es lo que debe hacer". Seguridad desnuda . Sofos. 12 de octubre de 2013 . Consultado el 23 de octubre de 2013 .
86. "Los delincuentes de CryptoLocker cobran 10 Bitcoins por el servicio de descifrado de segunda oportunidad". MundoRed . 4 de noviembre de 2013 . Consultado el 5 de noviembre de 2013 .
87. "Los creadores de CryptoLocker intentan extorsionar aún más dinero a las víctimas con un nuevo servicio". Mundo PC . 4 de noviembre de 2013 . Consultado el 5 de noviembre de 2013 .
88. "Wham bam: la operación global Tovar acaba con el ransomware CryptoLocker y la botnet GameOver Zeus". Mundo de la informática . IDG. Archivado desde el original el 3 de julio de 2014 . Consultado el 18 de agosto de 2014 .
89. "Estados Unidos lidera una acción multinacional contra la botnet" Gameover Zeus "y el ransomware" Cryptolocker ", acusa al administrador de la botnet". Justicia.gov . Departamento de Justicia de EE. UU . Consultado el 18 de agosto de 2014 .
90. "Los australianos se ven cada vez más afectados por la marea mundial de criptomalware". Symantec . Consultado el 15 de octubre de 2014 .
91. Grubb, Ben (17 de septiembre de 2014). "Los piratas informáticos bloquean miles de computadoras australianas y exigen un rescate". Heraldo de la mañana de Sydney . Consultado el 15 de octubre de 2014 .
92. "Australia apunta específicamente a Cryptolocker: Symantec". ARNnet . 3 de octubre de 2014 . Consultado el 15 de octubre de 2014 .
93. "Los estafadores utilizan Australia Post para enmascarar ataques por correo electrónico". Heraldo de la mañana de Sydney . 15 de octubre de 2014 . Consultado el 15 de octubre de 2014 .
94. Steve Ragan (7 de octubre de 2014). "El ataque de ransomware saca del aire a una estación de televisión". OSC . Archivado desde el original el 12 de octubre de 2016 . Consultado el 15 de octubre de 2014 .
95. "Más de 9.000 PC en Australia infectadas por el ransomware TorrentLocker". CSO.com.au. _ 17 de diciembre de 2014 . Consultado el 18 de diciembre de 2014 .
96. "La campaña de publicidad maliciosa ofrece ransomware CryptoWall firmado digitalmente". Mundo PC . 29 de septiembre de 2014 . Consultado el 25 de junio de 2015 .
97. "CryptoWall 3.0 Ransomware se asocia con el software espía FAREIT". Tendencia Micro. 20 de marzo de 2015 . Consultado el 25 de junio de 2015 .
98. Andra Zaharia (5 de noviembre de 2015). "Alerta de seguridad: CryptoWall 4.0: nuevo, mejorado y más difícil de detectar". HEIMDAL . Consultado el 5 de enero de 2016 .
99. "Ransomware en dispositivos móviles: knock-knock-block". Laboratorio Kaspersky . Consultado el 4 de diciembre de 2016 .
100. "La evolución del ransomware móvil". Avast . Consultado el 4 de diciembre de 2016 .
101. "El uso de ransomware móvil aumenta, bloqueando el acceso a los teléfonos". Mundo PC . IDG Consumidor y Pymes. 30 de junio de 2016 . Consultado el 4 de diciembre de 2016 .
102. "Ciberataque: Europol dice que su escala no tuvo precedentes". Noticias de la BBC . 13 de mayo de 2017 . Consultado el 13 de mayo de 2017 .
103. "'Un ciberataque sin precedentes alcanza a 200.000 personas en al menos 150 países y la amenaza está aumentando ". CNBC. 14 de mayo de 2017. Archivado desde el original el 15 de mayo de 2017 . Consultado el 16 de mayo de 2017 .
104. "La verdadera víctima del ransomware: la tienda de la esquina". CNET . Consultado el 22 de mayo de 2017 .
105. Marsh, Sarah (12 de mayo de 2017). "Los fideicomisos del NHS afectados por malware: lista completa". El guardián . Consultado el 12 de mayo de 2017 .
106. "Honda detiene la planta de automóviles de Japón después de que el virus WannaCry llegara a la red informática". Reuters . 21 de junio de 2017 . Consultado el 21 de junio de 2017 .
107. "Lo último: el Ministerio del Interior ruso sufre un ciberataque". WTHR .
108. Scott, Paul Mozur, Marcos; Goel, Vindu (19 de mayo de 2017). "Las víctimas denuncian el engaño de los piratas informáticos a medida que se acerca la fecha límite del ransomware". Los New York Times . ISSN  0362-4331 . Consultado el 22 de mayo de 2017 .{{cite news}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
109. Constantino, Lucian. "El ransomware Petya supone ahora el doble de problemas". MundoRed . Consultado el 27 de junio de 2017 .
110. "Estadísticas de ransomware para 2018 | Detective de seguridad". Detective de seguridad . 23 de octubre de 2018 . Consultado el 20 de noviembre de 2018 .
111. "El brote masivo de ransomware del martes fue, de hecho, algo mucho peor". Ars Técnica . 28 de junio de 2017 . Consultado el 28 de junio de 2017 .
112. "El ciberataque tuvo que ver con datos y no con dinero, dicen los expertos". Noticias de la BBC . 29 de junio de 2017 . Consultado el 29 de junio de 2017 .
113. "'El ransomware Bad Rabbit ataca a Ucrania y Rusia ". BBC . 24 de octubre de 2017 . Consultado el 24 de octubre de 2017 .
114. Hern, Alex (25 de octubre de 2017). "Bad Rabbit: el ransomware que hace referencia a Juego de Tronos llega a Europa". Theguardian.com . Consultado el 25 de octubre de 2017 .
115. Larson, Selena (25 de octubre de 2017). "Un nuevo ataque de ransomware llega a Rusia y se extiende por todo el mundo". CNN . Consultado el 25 de octubre de 2017 .
116. "BadRabbit: una mirada más cercana a la nueva versión de Petya/NotPetya". Laboratorios Malwarebytes . 24 de octubre de 2017 . Consultado el 31 de julio de 2019 .
117. Palmer, Danny. "Bad Rabbit: Diez cosas que debes saber sobre el último brote de ransomware". ZDNet . Consultado el 31 de julio de 2019 .
118. Cameron, Dell (24 de octubre de 2017). "'El ransomware Bad Rabbit ataca a Rusia y Ucrania ". Gizmodo . Consultado el 24 de octubre de 2017 .
119. Palmer, Danny (24 de octubre de 2017). "Bad Rabbit ransomware: una nueva variante de Petya se está extendiendo, advierten los investigadores". ZDNet . Consultado el 24 de octubre de 2017 .
120. Rashid, Fahmida Y. (19 de abril de 2016). "Parchee JBoss ahora para evitar ataques de ransomware SamSam". InfoMundo . IDG . Consultado el 23 de julio de 2018 .
121. Crowe, Jonathan (marzo de 2018). "Ciudad de Atlanta afectada por SamSam Ransomware: cinco cosas clave que debe saber". Barkley contra malware . Barkley Protects, Inc. Archivado desde el original el 18 de julio de 2018 . Consultado el 18 de julio de 2018 .
122. Oficina Federal de Investigaciones , Buscado por el FBI: SamSam Subjects (PDF) , Departamento de Justicia de EE. UU ., consultado el 5 de octubre de 2019
123. "Dos hombres iraníes acusados ​​de implementar ransomware para extorsionar a hospitales, municipios e instituciones públicas, causando pérdidas por más de 30 millones de dólares" (Comunicado de prensa). Departamento de Justicia de los Estados Unidos. 28 de noviembre de 2018 . Consultado el 11 de diciembre de 2018 .
124. Whittaker, Zack. "Hablamos con estafadores de soporte técnico de Windows. He aquí por qué no debería hacerlo". ZDNet . Consultado el 6 de noviembre de 2019 .
125. "Actualización de Windows 10 Fall Creators: se eliminó la compatibilidad con syskey.exe". Hacks . 26 de junio de 2017 . Consultado el 6 de noviembre de 2019 .
126. "La utilidad Syskey.exe ya no es compatible con Windows 10, Windows Server 2016 y Windows Server 2019". Microsoft . Consultado el 6 de noviembre de 2019 .
127. "El grupo de ransomware con sede en Rusia 'REvil' desaparece después de afectar a las empresas estadounidenses". El independiente . 13 de julio de 2021.
128. "Una prolífica banda de ransomware desaparece repentinamente de Internet. El momento es digno de mención". Noticias NBC .
129. "McAfee ATR analiza Sodinokibi, también conocido como REvil Ransomware-as-a-Service: las estrellas". 2 de octubre de 2019.
130. "Biden le dice a Putin que Rusia debe tomar medidas enérgicas contra los ciberdelincuentes". NOTICIAS AP . 9 de julio de 2021.
131. Sanger, David E. (13 de julio de 2021). "El grupo de ransomware más agresivo de Rusia desapareció. No está claro quién lo desactivó". Los New York Times . Archivado desde el original el 28 de diciembre de 2021.
132. Brian Fung; Zachary Cohen; Geneva Sands (13 de julio de 2021). "La banda de ransomware que atacó al proveedor de carne desaparece misteriosamente de Internet". Negocios CNN .
133. Cannell, Joshua (8 de octubre de 2013). "Cryptolocker Ransomware: lo que necesita saber, última actualización el 02/06/2014". Malwarebytes desempaquetado . Archivado desde el original el 30 de septiembre de 2021 . Consultado el 19 de octubre de 2013 .
134. Leyden, Josh. "Ransomware Fiendish CryptoLocker: hagas lo que hagas, no PAGUES". El registro . Archivado desde el original el 13 de agosto de 2021 . Consultado el 18 de octubre de 2013 .
135. "Las infecciones por Cryptolocker van en aumento; US-CERT emite advertencia". Semana de la seguridad . 19 de noviembre de 2013. Archivado desde el original el 27 de mayo de 2021 . Consultado el 18 de enero de 2014 .
136. Metin, Ozer. "Aplicar reducción de la superficie de ataque". Comodo Ciberseguridad . Archivado desde el original el 5 de octubre de 2021 . Consultado el 27 de agosto de 2020 .
137. "Descripción general de las capacidades de reducción de la superficie de ataque". Microsoft . Archivado desde el original el 18 de noviembre de 2021 . Consultado el 6 de febrero de 2020 .
138. "Virtualización de API de kernel" patentada de Comodo: bajo el capó. Comodo Ciberseguridad . Archivado desde el original el 4 de octubre de 2021 . Consultado el 27 de agosto de 2020 .
139. "'El brote de ransomware de Petya se globaliza ". krebsonsecurity.com . Krebs sobre la seguridad . Consultado el 29 de junio de 2017 .
140. "Cómo protegerse del malware Petya". CNET . Consultado el 29 de junio de 2017 .
141. "Ataque de ransomware Petya: qué debe hacer para que su seguridad no se vea comprometida". Los tiempos económicos . 29 de junio de 2017 . Consultado el 29 de junio de 2017 .
142. "Se propaga el nuevo ataque de ransomware 'Petya': qué hacer". La guía de Tom. 27 de junio de 2017 . Consultado el 29 de junio de 2017 .
143. "India es la más afectada por Petya en APAC, séptima a nivel mundial: Symantec". Los tiempos económicos . 29 de junio de 2017 . Consultado el 29 de junio de 2017 .
144. "TRA emite consejos para protegerse contra el último ransomware Petya | The National". 29 de junio de 2017 . Consultado el 29 de junio de 2017 .
145. "Petya Ransomware se propaga a través del exploit EternalBlue« Blog de investigación de amenazas ". Ojo de fuego. Archivado desde el original el 13 de febrero de 2021 . Consultado el 29 de junio de 2017 .
146. Chang, Yao-Chung (2012). Cibercrimen en la región de la Gran China: respuestas regulatorias y prevención del delito a través del Estrecho de Taiwán. Editorial Edward Elgar. ISBN 9780857936684. Consultado el 30 de junio de 2017 .
147. "Control de infecciones para sus computadoras: protección contra el delito cibernético - Blog de GP Practice Management". Blog de gestión de la práctica del médico de cabecera . 18 de mayo de 2017 . Consultado el 30 de junio de 2017 .
148. Piper, DLA (2021). "La Agencia de Seguridad de Infraestructura y Ciberseguridad publica una guía sobre ransomware". Revista de Derecho de Internet . 25 (1): 1–17 . Consultado el 3 de diciembre de 2023 .
149. "Cómo activar la protección contra ransomware en Windows 10". Bucle de Windows . 8 de mayo de 2018 . Consultado el 19 de diciembre de 2018 .
150. "Derrotar los ataques de CryptoLocker con ZFS". ixsystems.com . 27 de agosto de 2015.
151. "Lista de herramientas gratuitas de descifrado de ransomware para desbloquear archivos". Thewindowsclub.com . Consultado el 28 de julio de 2016 .
152. "Emsisoft Decrypter para HydraCrypt y UmbreCrypt Ransomware". Thewindowsclub.com . 17 de febrero de 2016 . Consultado el 28 de julio de 2016 .
153. "Herramientas de eliminación de ransomware" . Consultado el 19 de septiembre de 2017 .
154. Dudley; Jeff Kao (15 de mayo de 2019). "Las empresas de secretos comerciales que prometieron soluciones de ransomware de alta tecnología casi siempre solo pagan a los piratas informáticos".
155. "Acerca del proyecto: el proyecto No More Ransom". Archivado desde el original el 22 de noviembre de 2021 . Consultado el 3 de diciembre de 2021 .
156. "Crypto Sheriff: el proyecto No More Ransom". Archivado desde el original el 26 de octubre de 2021 . Consultado el 3 de diciembre de 2021 .
157. "Zain Qaiser: estudiante encarcelado por chantajear a usuarios de pornografía en todo el mundo". Noticias de la BBC . 9 de abril de 2019.
158. "El hacker británico Zain Qaiser condenado por chantajear a millones". 9 de abril de 2019.
159. Cimpanu, Catalín. "El distribuidor de ransomware Reveton condenado a seis años de prisión en el Reino Unido". ZDNet .
160. "Cómo la policía atrapó al barón del ransomware porno más famoso del Reino Unido", Matt Burgess, Wired , 12 de abril de 2019]
161. "Angler by Lurk: Por qué el infame grupo cibercriminal que robó millones estaba alquilando su herramienta más poderosa". usa.kaspersky.com . 26 de mayo de 2021.
162. Nichols, Shaun (15 de agosto de 2018). "Florida Man lavó dinero para el ransomware Reveton. Luego Microsoft lo contrató en San Francisco". Theregister.com .
163. Fields, Logan M. (25 de febrero de 2017). "El informe de las minorías - Semana 7 - La mitad del camino". Noticias del mundo.
164. Wei, Wang (6 de junio de 2017). "Niño japonés de 14 años arrestado por crear ransomware". Las noticias de los piratas informáticos.
165. Joven, Adam L.; Yung, Moti (2005). "Una implementación de extorsión criptoviral utilizando la Crypto API de Microsoft" (PDF) . Laboratorios de criptovirología. Archivado desde el original (PDF) el 24 de junio de 2016 . Consultado el 16 de agosto de 2017 .

Otras lecturas

• Joven, A.; Yung, M. (2004). Criptografía maliciosa: exponiendo la criptovirología . Wiley. ISBN 978-0-7645-4975-5.
• Russinovich , Mark (7 de enero de 2013). "Buscando y matando ransomware". Microsoft TechNet . Microsoft.
• Simonita, Tom (4 de febrero de 2015). "Mantener datos como rehenes: ¿el crimen perfecto en Internet? Ransomware (Scareware)". Revisión de tecnología del MIT . Archivado desde el original el 27 de noviembre de 2015 . Consultado el 5 de febrero de 2015 .
• Brad, Duncan (2 de marzo de 2015). "Kits de explotación y CryptoWall 3.0". ¡El blog de Rackspace! Y sala de noticias. Archivado desde el original el 24 de septiembre de 2015 . Consultado el 15 de abril de 2015 .
• "Ransomware en aumento: el FBI y sus socios trabajan para combatir esta amenaza cibernética". NOTICIAS . Oficina Federal de Investigaciones. 20 de enero de 2015.
• Yang, T.; Yang, Y.; Qian, K.; He aquí, DCT; Qian, L. y Tao, L. (2015). 2015 IEEE 17.ª Conferencia Internacional sobre Computación y Comunicaciones de Alto Rendimiento, 2015 IEEE 7.º Simposio Internacional sobre Seguridad en el Ciberespacio y 2015 IEEE 12.ª Conferencia Internacional sobre Software y Sistemas Integrados . IEEE Internet of Things Journal, CONFERENCIA, AGOSTO DE 2015. págs. 1338–1343. doi :10.1109/HPCC-CSS-ICES.2015.39. ISBN 978-1-4799-8937-9. S2CID  5374328.
• Richet, Jean-Loup (julio de 2015). "Extorsión en Internet: el auge del criptoransomware" (PDF) . Universidad Harvard.
• Liska, Allan (20 de octubre de 2021). "Ransomware: comprender. Prevenir. Recuperar". Futuro grabado . Medios ActualTech.

enlaces externos

• Medios relacionados con ransomware en Wikimedia Commons
• Incidentes de ransomware en aumento – Oficina Federal de Investigaciones
• La economía de la extorsión/Las empresas estadounidenses y el ransomware