El ransomware es un tipo de malware que bloquea permanentemente el acceso a los datos personales de la víctima a menos que se pague un "rescate". Si bien algunos ransomware simples pueden bloquear el sistema sin dañar ningún archivo, el malware más avanzado utiliza una técnica llamada extorsión criptoviral. Encripta los archivos de la víctima, haciéndolos inaccesibles, y exige el pago de un rescate para desencriptarlos. [1] [2] [3] [4] [5] En un ataque de extorsión criptoviral implementado correctamente, recuperar los archivos sin la clave de desencriptación es un problema insoluble , y se utilizan monedas digitales difíciles de rastrear, como paysafecard o Bitcoin y otras criptomonedas para los rescates, lo que dificulta el rastreo y el procesamiento de los perpetradores.
Los ataques de ransomware suelen llevarse a cabo mediante un troyano camuflado en un archivo legítimo que el usuario debe descargar o abrir cuando llega como archivo adjunto a un correo electrónico. Sin embargo, un ejemplo muy conocido, el gusano WannaCry , se desplaza automáticamente entre ordenadores sin interacción del usuario. [6]
El uso de estafas de ransomware ha crecido a nivel internacional desde 1989, cuando se publicó el primer ransomware documentado, conocido como el troyano AIDS . [7] [8] [9] En los primeros seis meses de 2018, hubo 181,5 millones de ataques de ransomware. Este récord supone un aumento del 229 % con respecto al mismo período de 2017. [10] En junio de 2014, el proveedor McAfee publicó datos que mostraban que había recopilado más del doble de muestras de ransomware en ese trimestre que en el mismo trimestre del año anterior. [11] CryptoLocker tuvo un éxito especial, ya que recaudó aproximadamente 3 millones de dólares antes de que las autoridades lo desmantelaran, [12] y la Oficina Federal de Investigaciones (FBI) de Estados Unidos estimó que CryptoWall había acumulado más de 18 millones de dólares en junio de 2015. [13] En 2020, el IC3 recibió 2.474 denuncias identificadas como ransomware con pérdidas ajustadas de más de 29,1 millones de dólares. Las pérdidas podrían ser más que eso, según el FBI. [14] A nivel mundial, según Statistica , hubo alrededor de 623 millones de ataques de ransomware en 2021 y 493 millones en 2022. [15]
El concepto de ransomware de cifrado de archivos fue inventado e implementado por Young y Yung en la Universidad de Columbia y fue presentado en la conferencia IEEE Security & Privacy de 1996. Se llama extorsión criptoviral y se inspiró en el facehugger ficticio de la película Alien . [16] La extorsión criptoviral es el siguiente protocolo de tres rondas que se lleva a cabo entre el atacante y la víctima. [1]
La clave simétrica se genera aleatoriamente y no ayuda a otras víctimas. En ningún momento se expone la clave privada del atacante a las víctimas y la víctima solo tiene que enviar un texto cifrado muy pequeño (la clave cifrada simétrica) al atacante.
Los ataques de ransomware se llevan a cabo normalmente mediante un troyano que entra en un sistema a través de, por ejemplo, un archivo adjunto malicioso, un enlace integrado en un correo electrónico de phishing o una vulnerabilidad en un servicio de red. A continuación, el programa ejecuta una carga útil que bloquea el sistema de alguna manera o afirma bloquear el sistema pero no lo hace (por ejemplo, un programa scareware ). Las cargas útiles pueden mostrar una advertencia falsa supuestamente de una entidad como una agencia de aplicación de la ley , afirmando falsamente que el sistema se ha utilizado para actividades ilegales, contiene contenido como pornografía y medios "pirateados" . [17] [18] [19]
Algunas cargas útiles consisten simplemente en una aplicación diseñada para bloquear o restringir el sistema hasta que se realice el pago, generalmente configurando el Shell de Windows para sí mismo, [20] o incluso modificando el registro de arranque maestro y/o la tabla de particiones para evitar que el sistema operativo arranque hasta que se repare. [21] Las cargas útiles más sofisticadas cifran archivos, y muchas utilizan un cifrado fuerte para cifrar los archivos de la víctima de tal manera que solo el autor del malware tenga la clave de descifrado necesaria. [1] [22] [23]
El pago es prácticamente siempre el objetivo, y la víctima se ve obligada a pagar para que se elimine el ransomware, ya sea proporcionando un programa que pueda descifrar los archivos o enviando un código de desbloqueo que deshaga los cambios de la carga útil. Si bien el atacante puede simplemente tomar el dinero sin devolver los archivos de la víctima, lo mejor para el atacante es realizar el descifrado según lo acordado, ya que las víctimas dejarán de enviar pagos si se sabe que no sirven para nada. Un elemento clave para que el ransomware funcione para el atacante es un sistema de pago conveniente que sea difícil de rastrear. Se han utilizado una variedad de estos métodos de pago, incluidas las transferencias bancarias , los mensajes de texto de tarifa premium , [24] servicios de cupones prepago como paysafecard , [7] [25] [26] y la criptomoneda Bitcoin . [27] [28] [29]
En mayo de 2020, el proveedor Sophos informó que el costo promedio global para remediar un ataque de ransomware (considerando el tiempo de inactividad, el tiempo empleado por las personas, el costo del dispositivo, el costo de la red, la oportunidad perdida y el rescate pagado) fue de $761,106. El noventa y cinco por ciento de las organizaciones que pagaron el rescate recuperaron sus datos. [30]
El primer ataque de extorsión con malware conocido, el "troyano SIDA" escrito por Joseph Popp en 1989, tenía un fallo de diseño tan grave que no era necesario pagar al extorsionador. Su carga útil ocultaba los archivos en el disco duro y cifraba sólo sus nombres , y mostraba un mensaje que afirmaba que la licencia del usuario para utilizar un determinado programa había expirado. Se le pedía al usuario que pagara 189 dólares a "PC Cyborg Corporation" para obtener una herramienta de reparación, aunque la clave de descifrado se podía extraer del código del troyano. El troyano también era conocido como "PC Cyborg". Popp fue declarado mentalmente incapacitado para ser juzgado por sus acciones, pero prometió donar las ganancias del malware para financiar la investigación del SIDA . [31]
La idea de abusar de los sistemas de efectivo anónimos para recolectar de forma segura rescates por secuestros humanos fue introducida en 1992 por Sebastiaan von Solms y David Naccache . [32] Este método de recolección de dinero electrónico también se propuso para ataques de extorsión criptoviral. [1] En el escenario de von Solms-Naccache se utilizó una publicación de periódico (ya que los libros de contabilidad de bitcoin no existían en el momento en que se escribió el artículo).
La idea de utilizar criptografía de clave pública para los ataques de secuestro de datos fue introducida en 1996 por Adam L. Young y Moti Yung . Young y Yung criticaron el fallido troyano AIDS Information que dependía únicamente de la criptografía simétrica , cuyo defecto fatal era que la clave de descifrado podía extraerse del troyano, e implementaron un criptovirus experimental de prueba de concepto en un Macintosh SE/30 que utilizaba RSA y el algoritmo Tiny Encryption Algorithm (TEA) para cifrar de forma híbrida los datos de la víctima. Como se utiliza criptografía de clave pública , el virus solo contiene la clave de cifrado . El atacante mantiene privada la clave de descifrado privada correspondiente . El criptovirus experimental original de Young y Yung hacía que la víctima enviara el texto cifrado asimétrico al atacante, quien lo descifraba y devolvía la clave de descifrado simétrica que contenía a la víctima a cambio de una tarifa. Mucho antes de que existiera el dinero electrónico, Young y Yung propusieron que el dinero electrónico también podía ser extorsionado a través del cifrado, afirmando que "el creador del virus puede retener efectivamente todo el dinero del rescate hasta que se le entregue la mitad. Incluso si el dinero electrónico fue cifrado previamente por el usuario, no le sirve de nada al usuario si es cifrado por un criptovirus". [1] Se refirieron a estos ataques como " extorsión criptoviral ", un ataque abierto que forma parte de una clase más grande de ataques en un campo llamado criptovirología , que abarca tanto los ataques abiertos como los encubiertos. [1] El protocolo de extorsión criptoviral se inspiró en la relación parasitaria entre el facehugger de HR Giger y su anfitrión en la película Alien . [1] [16]
Los ejemplos de ransomware extorsivo se hicieron prominentes en mayo de 2005. [33] A mediados de 2006, troyanos como Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip y MayArchive comenzaron a utilizar esquemas de cifrado RSA más sofisticados, con tamaños de clave cada vez mayores. Gpcode.AG, que se detectó en junio de 2006, estaba cifrado con una clave pública RSA de 660 bits. [34] En junio de 2008, se detectó una variante conocida como Gpcode.AK. Utilizando una clave RSA de 1024 bits, se creyó que era lo suficientemente grande como para que fuera computacionalmente inviable descifrarla sin un esfuerzo distribuido concertado . [35] [36] [37] [38]
El ransomware de cifrado volvió a cobrar importancia a finales de 2013 con la propagación de CryptoLocker , que utiliza la plataforma de moneda digital Bitcoin para cobrar el dinero del rescate. En diciembre de 2013, ZDNet estimó basándose en la información de transacciones de Bitcoin que entre el 15 de octubre y el 18 de diciembre, los operadores de CryptoLocker habían obtenido unos 27 millones de dólares estadounidenses de los usuarios infectados. [39] La técnica CryptoLocker fue ampliamente copiada en los meses siguientes, incluyendo CryptoLocker 2.0 (que se cree que no está relacionado con CryptoLocker), CryptoDefense (que inicialmente contenía un importante fallo de diseño que almacenaba la clave privada en el sistema infectado en una ubicación recuperable por el usuario , debido a su uso de las API de cifrado integradas de Windows), [28] [40] [41] [42] y el descubrimiento en agosto de 2014 de un troyano que apunta específicamente a dispositivos de almacenamiento conectados a la red producidos por Synology . [43] En enero de 2015, se informó que se habían producido ataques de estilo ransomware contra sitios web individuales mediante piratería informática y mediante ransomware diseñado para atacar servidores web basados en Linux . [44] [45] [46]
En 2022, Costa Rica recibió ataques generalizados del ransomware Conti que afectaron al gobierno, la atención médica y la industria. [47] Esto llevó al presidente Rodrigo Chaves a declarar el estado de emergencia y anunciar que Costa Rica está "en guerra" con sus piratas informáticos de ransomware. [48]
En algunas infecciones, existe una carga útil de dos etapas, común en muchos sistemas de malware. Se engaña al usuario para que ejecute un script, que descarga el virus principal y lo ejecuta. En las primeras versiones del sistema de carga útil dual, el script estaba contenido en un documento de Microsoft Office con una macro VBScript adjunta, o en un archivo de instalación de scripts de Windows (WSF). A medida que los sistemas de detección comenzaron a bloquear estas cargas útiles de primera etapa, el Centro de protección contra malware de Microsoft identificó una tendencia hacia los archivos LNK con scripts autónomos de Microsoft Windows PowerShell . [49] En 2016, se descubrió que PowerShell estaba involucrado en casi el 40% de los incidentes de seguridad de endpoints. [50]
Algunas cepas de ransomware han utilizado servidores proxy vinculados a servicios ocultos de Tor para conectarse a sus servidores de comando y control , lo que aumenta la dificultad de rastrear la ubicación exacta de los delincuentes. [51] [52] Además, los proveedores de la dark web han comenzado cada vez más [ ¿cuándo? ] a ofrecer la tecnología como un servicio , en el que el ransomware se vende, listo para implementarse en las máquinas de las víctimas, mediante suscripción, de manera similar a Adobe Creative Cloud u Office 365. [52] [53] [54]
Symantec ha clasificado el ransomware como la amenaza cibernética más peligrosa. [55]
En agosto de 2010, las autoridades rusas arrestaron a nueve personas vinculadas a un troyano ransomware conocido como WinLock. A diferencia del troyano Gpcode anterior, WinLock no utilizaba cifrado. En cambio, WinLock restringía trivialmente el acceso al sistema mostrando imágenes pornográficas y solicitaba a los usuarios que enviaran un SMS de tarifa premium (que costaba alrededor de 10 dólares estadounidenses) para recibir un código que podría usarse para desbloquear sus máquinas. La estafa afectó a numerosos usuarios en toda Rusia y países vecinos, y al parecer el grupo ganó más de 16 millones de dólares estadounidenses. [19] [56]
En 2011, apareció un troyano ransomware que imitaba el aviso de activación de productos de Windows e informaba a los usuarios de que la instalación de Windows de un sistema debía reactivarse debido a que habían sido víctimas de un fraude. Se ofrecía una opción de activación en línea (como el proceso de activación de Windows real), pero no estaba disponible y el usuario debía llamar a uno de los seis números internacionales para ingresar un código de seis dígitos. Si bien el malware afirmaba que la llamada sería gratuita, la enrutaba un operador fraudulento en un país con tarifas telefónicas internacionales elevadas, que ponía la llamada en espera, lo que hacía que el usuario incurriera en grandes cargos de larga distancia internacional . [17]
En 2012, Symantec informó sobre la propagación desde Europa del Este de un ransomware con una pantalla de bloqueo que pretendía ser una agencia de seguridad que exigía el pago de una actividad ilegal. [57]
En febrero de 2013, apareció un troyano ransomware basado en el kit de explotación Stamp.EK ; el malware se distribuyó a través de sitios alojados en los servicios de alojamiento de proyectos SourceForge y GitHub que afirmaban ofrecer "fotos falsas de desnudos" de celebridades. [58] En julio de 2013, apareció un troyano ransomware específico de OS X , que muestra una página web que acusa al usuario de descargar pornografía. A diferencia de sus homólogos basados en Windows, no bloquea todo el equipo, sino que simplemente explota el comportamiento del propio navegador web para frustrar los intentos de cerrar la página a través de medios normales. [59]
En julio de 2013, un hombre de 21 años de Virginia, cuyo ordenador contenía fotografías pornográficas de niñas menores de edad con las que había mantenido comunicaciones sexualizadas, se entregó a la policía tras recibir y ser engañado por el ransomware MoneyPak del FBI, que lo acusaba de poseer pornografía infantil. Una investigación descubrió los archivos incriminatorios y el hombre fue acusado de abuso sexual infantil y posesión de pornografía infantil. [60]
El reverso del ransomware es un ataque criptovirológico inventado por Adam L. Young que amenaza con publicar información robada del sistema informático de la víctima en lugar de negarle el acceso a ella. [61] En un ataque de leakware, el malware exfiltra datos confidenciales del host ya sea al atacante o, alternativamente, a instancias remotas del malware, y el atacante amenaza con publicar los datos de la víctima a menos que se pague un rescate. El ataque se presentó en West Point en 2003 y se resumió en el libro Malicious Cryptography de la siguiente manera: "El ataque se diferencia del ataque de extorsión en la siguiente forma. En el ataque de extorsión, a la víctima se le niega el acceso a su propia información valiosa y tiene que pagar para recuperarla, mientras que en el ataque que se presenta aquí la víctima conserva el acceso a la información, pero su divulgación queda a discreción del virus informático". [62] El ataque tiene sus raíces en la teoría de juegos y originalmente se denominó "juegos de suma no cero y malware superable". El ataque puede generar ganancias monetarias en los casos en que el malware obtiene acceso a información que puede dañar al usuario o a la organización víctima, por ejemplo, el daño a la reputación que podría resultar de la publicación de pruebas de que el ataque en sí fue un éxito.
Los objetivos comunes de exfiltración incluyen:
Los ataques de exfiltración suelen ser selectivos, con una lista seleccionada de víctimas y, a menudo, con una vigilancia preliminar de los sistemas de las víctimas para encontrar posibles objetivos de datos y debilidades. [63] [64]
Con la creciente popularidad del ransomware en las plataformas de PC, el ransomware dirigido a los sistemas operativos móviles también ha proliferado. Por lo general, las cargas útiles del ransomware móvil son bloqueadores, ya que hay pocos incentivos para cifrar los datos, ya que se pueden restaurar fácilmente a través de la sincronización en línea. [65] El ransomware móvil generalmente se dirige a la plataforma Android , ya que permite que se instalen aplicaciones desde fuentes de terceros. [65] [66] La carga útil generalmente se distribuye como un archivo APK instalado por un usuario desprevenido; puede intentar mostrar un mensaje de bloqueo sobre todas las demás aplicaciones, [66] mientras que otro utilizó una forma de clickjacking para hacer que el usuario le dé privilegios de "administrador del dispositivo" para lograr un acceso más profundo al sistema. [67]
Se han utilizado diferentes tácticas en los dispositivos iOS , como explotar cuentas de iCloud y usar el sistema Find My iPhone para bloquear el acceso al dispositivo. [68] En iOS 10.3 , Apple corrigió un error en el manejo de ventanas emergentes de JavaScript en Safari que había sido explotado por sitios web de ransomware. [69] Recientemente [ ¿ cuándo? ] se ha demostrado que el ransomware también puede apuntar a arquitecturas ARM como las que se pueden encontrar en varios dispositivos de Internet de las cosas (IoT), como los dispositivos de borde de IoT industrial. [70]
En agosto de 2019, los investigadores demostraron que es posible infectar cámaras DSLR con ransomware. [71] Las cámaras digitales suelen utilizar el Protocolo de transferencia de imágenes (PTP, el protocolo estándar utilizado para transferir archivos). Los investigadores descubrieron que era posible explotar vulnerabilidades en el protocolo para infectar la(s) cámara(s) de destino con ransomware (o ejecutar cualquier código arbitrario). Este ataque se presentó en la conferencia de seguridad Defcon en Las Vegas como un ataque de prueba de concepto (no como malware armado real).
Los primeros ataques se dirigieron a usuarios aleatorios, generalmente infectados a través de archivos adjuntos de correo electrónico enviados por pequeños grupos de delincuentes, en los que se exigían unos cientos de dólares en criptomonedas para desbloquear archivos (normalmente fotografías y documentos de un particular) que el ransomware había cifrado. A medida que el ransomware maduró como negocio, las bandas organizadas entraron en el campo, anunciando en la red oscura a expertos y subcontratando funciones. Esto llevó a una mejora en la calidad del ransomware y su éxito. En lugar de correos electrónicos aleatorios, las bandas robaban credenciales, encontraban vulnerabilidades en las redes de destino y mejoraban el malware para evitar que los escáneres antimalware lo detectaran. Los rescates exigidos aumentaron hasta las sumas mucho mayores (millones) que una empresa pagaría para recuperar sus datos, en lugar de lo que un particular pagaría por sus documentos (cientos).
En 2016, se observó un aumento significativo de los ataques de ransomware a los hospitales. Según el Informe sobre amenazas a la seguridad en Internet de 2017 de Symantec Corp, el ransomware afectó no solo a los sistemas informáticos, sino también a la atención al paciente, las operaciones clínicas y la facturación. Los delincuentes en línea pueden estar motivados por el dinero disponible y la sensación de urgencia dentro del sistema de atención sanitaria. [72]
El ransomware está creciendo rápidamente entre los usuarios de Internet, pero también en el entorno de IoT. [57] El gran problema es que algunas organizaciones e industrias que han decidido pagar pierden millones de dólares, como el Hollywood Presbyterian Medical Center y el MedStar Health. [73]
Según el informe ISTR de Symantec de 2019, por primera vez desde 2013, en 2018 se observó una disminución de la actividad de ransomware con una caída del 20 por ciento. Antes de 2017, los consumidores eran las víctimas preferidas, pero en 2017 esto cambió drásticamente, se trasladó a las empresas. En 2018, este camino se aceleró con un 81 por ciento de infecciones, lo que representó un aumento del 12 por ciento. [74] El método de distribución común hoy en día se basa en campañas de correo electrónico.
A finales de 2019, el grupo de ransomware Maze descargó archivos confidenciales de las empresas antes de bloquearlos y amenazó con filtrar los datos públicamente si no se pagaba el rescate; en al menos un caso lo hicieron. Muchas otras bandas siguieron sus pasos; se crearon "sitios de filtración" en la red oscura donde se podía acceder a los datos robados. Los ataques posteriores se centraron en la amenaza de filtrar datos, sin bloquearlos necesariamente, lo que anuló la protección que brindan a las víctimas los sólidos procedimientos de copia de seguridad. A partir de 2023 [actualizar]existe el riesgo de que los gobiernos hostiles utilicen ransomware para ocultar lo que en realidad es recopilación de inteligencia. [75]
La primera muerte reportada luego de un ataque de ransomware ocurrió en un hospital alemán en octubre de 2020. [76]
Durante la pandemia de COVID-19 de 2020 se produjo un aumento significativo de los ataques de ransomware . La evidencia ha demostrado que las instituciones a las que se dirigieron estos ataques incluían el gobierno, las finanzas y la atención médica. Los investigadores han sostenido que varios factores diferentes pueden explicar el aumento de los ataques durante este tiempo. Sin embargo, un factor importante es que el trabajo remoto , que se convirtió en la norma para muchas industrias en 2020, provocó el aumento de los ataques debido a la falta de seguridad en comparación con los entornos de trabajo tradicionales. [77]
En 2012, un importante troyano ransomware conocido como Reveton comenzó a propagarse. Basado en el troyano Citadel (que, a su vez, está basado en el troyano Zeus ), su carga útil muestra una advertencia supuestamente de una agencia de aplicación de la ley que afirma que la computadora ha sido utilizada para actividades ilegales, como la descarga de software sin licencia o pornografía infantil . Debido a este comportamiento, se lo conoce comúnmente como el "troyano de la policía". [78] [79] [80] La advertencia informa al usuario que para desbloquear su sistema, tendría que pagar una multa utilizando un cupón de un servicio de efectivo prepago anónimo como Ukash o paysafecard . Para aumentar la ilusión de que la computadora está siendo rastreada por la policía, la pantalla también muestra la dirección IP de la computadora , mientras que algunas versiones muestran imágenes de la cámara web de la víctima para dar la ilusión de que el usuario está siendo grabado. [7] [81]
Reveton comenzó a propagarse inicialmente en varios países europeos a principios de 2012. [7] Las variantes se localizaron con plantillas marcadas con los logotipos de diferentes organizaciones policiales según el país del usuario; por ejemplo, las variantes utilizadas en el Reino Unido contenían la marca de organizaciones como el Servicio de Policía Metropolitana y la Unidad Nacional de Delitos Electrónicos de la Policía . Otra versión contenía el logotipo de la sociedad de recaudación de regalías PRS for Music , que acusó específicamente al usuario de descargar música ilegalmente. [82] En una declaración advirtiendo al público sobre el malware, la Policía Metropolitana aclaró que nunca bloquearían una computadora de esa manera como parte de una investigación. [7] [18]
En mayo de 2012, los investigadores de amenazas de Trend Micro descubrieron plantillas para variaciones para Estados Unidos y Canadá , lo que sugiere que sus autores pueden haber estado planeando apuntar a usuarios en América del Norte. [83] Para agosto de 2012, una nueva variante de Reveton comenzó a propagarse en Estados Unidos, afirmando requerir el pago de una multa de $ 200 al FBI usando una tarjeta MoneyPak . [8] [9] [81] En febrero de 2013, un ciudadano ruso fue arrestado en Dubai por las autoridades españolas por su conexión con una red criminal que había estado usando Reveton; otras diez personas fueron arrestadas por cargos de lavado de dinero . [84] En agosto de 2014, Avast Software informó que había encontrado nuevas variantes de Reveton que también distribuyen malware para robar contraseñas como parte de su carga útil. [85]
El ransomware de cifrado reapareció en septiembre de 2013 con un troyano conocido como CryptoLocker , que generaba un par de claves RSA de 2048 bits y las subía a su vez a un servidor de comando y control, y las usaba para cifrar archivos usando una lista blanca de extensiones de archivo específicas . El malware amenazaba con eliminar la clave privada si no se realizaba un pago en Bitcoin o un cupón de efectivo prepago dentro de los 3 días posteriores a la infección. Debido al tamaño extremadamente grande de la clave que utiliza, los analistas y los afectados por el troyano consideraron que CryptoLocker era extremadamente difícil de reparar. [27] [86] [87] [88] Incluso después de que pasara la fecha límite, la clave privada aún se podía obtener usando una herramienta en línea, pero el precio aumentaría a 10 BTC, que costaba aproximadamente US$2300 en noviembre de 2013. [89] [90]
CryptoLocker fue aislado por la incautación de la botnet Gameover ZeuS como parte de la Operación Tovar , como lo anunció oficialmente el Departamento de Justicia de los EE. UU. el 2 de junio de 2014. El Departamento de Justicia también emitió públicamente una acusación contra el hacker ruso Evgeniy Bogachev por su presunta participación en la botnet. [91] [92] Se estimó que al menos US$3 millones fueron extorsionados con el malware antes del cierre. [12]
En septiembre de 2014, surgió una ola de troyanos ransomware que primero apuntaron a usuarios en Australia , bajo los nombres CryptoWall y CryptoLocker (que, al igual que con CryptoLocker 2.0, no está relacionado con el CryptoLocker original). Los troyanos se propagaron a través de correos electrónicos fraudulentos que afirmaban ser avisos de entrega de paquetes fallidos de Australia Post ; para evadir la detección por parte de escáneres de correo electrónico automáticos que siguen todos los enlaces en una página para escanear en busca de malware, esta variante fue diseñada para requerir que los usuarios visiten una página web e ingresen un código CAPTCHA antes de que se descargue realmente la carga útil, evitando que dichos procesos automatizados puedan escanear la carga útil. Symantec determinó que estas nuevas variantes, que identificó como CryptoLocker.F , nuevamente no estaban relacionadas con el CryptoLocker original debido a las diferencias en su funcionamiento. [93] [94] Una víctima notable de los troyanos fue la Australian Broadcasting Corporation ; La programación en vivo de su canal de noticias de televisión ABC News 24 se interrumpió durante media hora y se trasladó a los estudios de Melbourne debido a una infección CryptoWall en las computadoras de su estudio de Sydney . [95] [96] [97]
Otro troyano de esta ola, TorrentLocker , inicialmente contenía un fallo de diseño comparable a CryptoDefense: utilizaba la misma secuencia de claves para cada equipo infectado, lo que hacía que el cifrado fuera fácil de superar. Sin embargo, este fallo se solucionó más tarde. [40] A finales de noviembre de 2014, se estimó que más de 9000 usuarios habían sido infectados por TorrentLocker solo en Australia, detrás solo de Turquía con 11 700 infecciones. [98]
Otro importante troyano ransomware dirigido a Windows, CryptoWall, apareció por primera vez en 2014. Una cepa de CryptoWall se distribuyó como parte de una campaña de publicidad maliciosa en la red publicitaria Zedo a fines de septiembre de 2014 que tenía como objetivo varios sitios web importantes; los anuncios redirigían a sitios web fraudulentos que usaban exploits de complementos del navegador para descargar la carga útil. Un investigador de Barracuda Networks también señaló que la carga útil estaba firmada con una firma digital en un esfuerzo por parecer confiable para el software de seguridad. [99] CryptoWall 3.0 usó una carga útil escrita en JavaScript como parte de un archivo adjunto de correo electrónico, que descarga ejecutables disfrazados de imágenes JPG . Para evadir aún más la detección, el malware crea nuevas instancias de explorer.exe y svchost.exe para comunicarse con sus servidores. Al cifrar archivos, el malware también elimina copias de sombra de volumen e instala software espía que roba contraseñas y billeteras Bitcoin . [100]
El FBI informó en junio de 2015 que casi 1.000 víctimas se habían comunicado con el Centro de Quejas de Delitos en Internet de la agencia para informar sobre infecciones de CryptoWall y estimaron pérdidas de al menos 18 millones de dólares. [13]
La versión más reciente [ ¿cuándo? ] , CryptoWall 4.0, mejoró su código para evitar la detección del antivirus y encripta no solo los datos de los archivos sino también los nombres de los mismos. [101]
Fusob es una familia importante de ransomware para dispositivos móviles. Entre abril de 2015 y marzo de 2016, aproximadamente el 56 por ciento del ransomware para dispositivos móviles registrado era Fusob. [102]
Al igual que la mayoría de los demás programas de ransomware, emplea tácticas de miedo para extorsionar al usuario y obtener una suma considerable de dinero. [103] La aplicación actúa como si fuera un aviso de las autoridades , exigiendo a la víctima que pague una multa de entre 100 y 200 dólares estadounidenses o, de lo contrario, se enfrentará a un cargo penal ficticio. Fusob solicita tarjetas de regalo de iTunes para el pago, a diferencia de la mayoría de los ransomware centrados en criptomonedas.
Para infectar los dispositivos, Fusob se hace pasar por un reproductor de vídeos pornográficos. [104] Cuando se instala, primero comprueba el idioma del sistema del dispositivo. Si el idioma es ruso o de Europa del Este, Fusob permanece inactivo. De lo contrario, bloquea el dispositivo y exige un rescate. Alrededor del 40% de las víctimas se encuentran en Alemania, mientras que el Reino Unido abarca el 14,5% de las víctimas y los EE. UU. abarcan el 11,4%. Fusob y Small (otra familia de ransomware) representaron más del 93% del ransomware móvil entre 2015 y 2016.
En mayo de 2017, el ataque de ransomware WannaCry se propagó a través de Internet, utilizando un vector de explotación llamado EternalBlue , que supuestamente se filtró de la Agencia de Seguridad Nacional de EE. UU . El ataque de ransomware, sin precedentes en escala, [105] infectó más de 230.000 computadoras en más de 150 países, [106] utilizando 20 idiomas diferentes para exigir dinero a los usuarios que usaban la criptomoneda Bitcoin . WannaCry exigió 300 dólares estadounidenses por computadora. [107] El ataque afectó a Telefónica y varias otras grandes empresas en España, así como a partes del Servicio Nacional de Salud británico (NHS), donde al menos 16 hospitales tuvieron que rechazar pacientes o cancelar operaciones programadas, [108] FedEx , Deutsche Bahn , Honda , [109] Renault , así como el Ministerio del Interior ruso y la telecomunicaciones rusa MegaFon . [110] Los atacantes dieron a sus víctimas un plazo de 7 días a partir del día en que sus computadoras se infectaron, después del cual se eliminarían los archivos cifrados. [111]
Petya fue descubierto por primera vez en marzo de 2016. A diferencia de otras formas de ransomware de cifrado, el malware tenía como objetivo infectar el registro de arranque maestro , instalando una carga útil que cifra las tablas de archivos del sistema de archivos NTFS la próxima vez que se inicie el sistema infectado, impidiendo que el sistema se inicie en Windows hasta que se pague el rescate. Check Point informó que, a pesar de lo que creía que era una evolución innovadora en el diseño de ransomware, había dado lugar a relativamente menos infecciones que otros ransomware activos en el mismo período de tiempo. [112]
El 27 de junio de 2017, se utilizó una versión muy modificada de Petya para un ciberataque global dirigido principalmente a Ucrania (pero que afectó a muchos países [113] ). Esta versión había sido modificada para propagarse utilizando el mismo exploit EternalBlue que utilizó WannaCry. Debido a otro cambio de diseño, tampoco puede desbloquear un sistema después de que se paga el rescate; esto llevó a los analistas de seguridad a especular que el ataque no tenía como objetivo generar ganancias ilícitas, sino simplemente causar interrupciones. [114] [115]
El 24 de octubre de 2017, algunos usuarios en Rusia y Ucrania informaron sobre un nuevo ataque de ransomware, llamado "Bad Rabbit", que sigue un patrón similar a WannaCry y Petya al cifrar las tablas de archivos del usuario y luego exige un pago en Bitcoin para descifrarlas. ESET creía que el ransomware se había distribuido mediante una actualización falsa del software Adobe Flash . [116] Entre las agencias que se vieron afectadas por el ransomware se encontraban: Interfax , el Aeropuerto Internacional de Odesa , el Metro de Kiev y el Ministerio de Infraestructura de Ucrania. [117] Como utilizó estructuras de redes corporativas para propagarse, el ransomware también se descubrió en otros países, incluidos Turquía, Alemania, Polonia, Japón, Corea del Sur y Estados Unidos. [118] Los expertos creían que el ataque de ransomware estaba vinculado al ataque de Petya en Ucrania (especialmente porque el código de Bad Rabbit tiene muchos elementos superpuestos y analógicos al código de Petya/NotPetya, [119] añadiendo a CrowdStrike Bad Rabbit y la biblioteca de enlaces dinámicos (DLL) de NotPetya comparten el 67 por ciento del mismo código [120] ), aunque la única identidad de los culpables son los nombres de los personajes de la serie Game of Thrones incrustados en el código. [118]
Los expertos en seguridad descubrieron que el ransomware no utilizó el exploit EternalBlue para propagarse, y el 24 de octubre de 2017 se encontró un método simple para inocular una máquina no afectada que ejecutaba versiones anteriores de Windows. [121] [122] Además, los sitios que se habían utilizado para difundir la actualización falsa de Flash se desconectaron o eliminaron los archivos problemáticos a los pocos días de su descubrimiento, lo que acabó con la propagación de Bad Rabbit. [118]
En 2016, surgió una nueva cepa de ransomware que atacaba a los servidores de JBoss . [123] Se descubrió que esta cepa, llamada "SamSam", eludía el proceso de phishing o descargas ilícitas a favor de explotar vulnerabilidades en servidores débiles. [124] El malware utiliza un ataque de fuerza bruta de Protocolo de escritorio remoto para adivinar contraseñas débiles hasta que se descifre una. El virus ha estado detrás de ataques a objetivos gubernamentales y de atención médica, con ataques notables ocurridos contra la ciudad de Farmington, Nuevo México , el Departamento de Transporte de Colorado , el condado de Davidson, Carolina del Norte y, más recientemente, [ ¿cuándo? ] un ataque de ransomware a la infraestructura de Atlanta . [124]
El FBI busca a Mohammad Mehdi Shah Mansouri (nacido en Qom , Irán, en 1991) y Faramarz Shahi Savandi (nacido en Shiraz , Irán , en 1984) por supuestamente lanzar el ransomware SamSam. [125] Los dos supuestamente ganaron 6 millones de dólares con extorsiones y causaron más de 30 millones de dólares en daños utilizando el malware. [126]
El 7 de mayo de 2021, se ejecutó un ciberataque en el oleoducto Colonial Pipeline de EE. UU. La Oficina Federal de Investigaciones identificó a DarkSide como el autor del ataque de ransomware Colonial Pipeline , perpetrado por código malicioso , que provocó el cierre voluntario del oleoducto principal que suministra el 45% de combustible a la costa este de Estados Unidos . El ataque fue descrito como el peor ciberataque hasta la fecha a la infraestructura crítica estadounidense . DarkSide extorsionó con éxito alrededor de 75 Bitcoin (casi 5 millones de dólares estadounidenses) de Colonial Pipeline. Los funcionarios estadounidenses están investigando si el ataque fue puramente criminal o se llevó a cabo con la participación del gobierno ruso u otro patrocinador estatal. Tras el ataque, DarkSide publicó una declaración en la que afirmaba que "Somos apolíticos, no participamos en la geopolítica ... Nuestro objetivo es ganar dinero y no crear problemas para la sociedad".
En mayo de 2021, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron una alerta conjunta instando a los propietarios y operadores de infraestructura crítica a tomar ciertas medidas para reducir su vulnerabilidad al ransomware DarkSide y al ransomware en general.
Syskey es una utilidad que se incluyó con los sistemas operativos basados en Windows NT para cifrar la base de datos de cuentas de usuario , opcionalmente con una contraseña. La herramienta a veces se ha utilizado de manera efectiva como ransomware durante estafas de soporte técnico , donde una persona que llama con acceso remoto a la computadora puede usar la herramienta para bloquear al usuario fuera de su computadora con una contraseña que solo ellos conocen. [127] Syskey se eliminó de las versiones posteriores de Windows 10 y Windows Server en 2017, debido a que estaba obsoleto y "se sabía que los piratas informáticos lo usaban como parte de estafas de ransomware". [128] [129]
El ransomware como servicio (RaaS) se convirtió en un método notable después de que el grupo REvil , con sede en Rusia [130] o de habla rusa [131], organizara operaciones contra varios objetivos, incluido JBS SA, con sede en Brasil , en mayo de 2021, y Kaseya Limited, con sede en EE. UU., en julio de 2021. [132] Después de una llamada telefónica del 9 de julio de 2021 entre el presidente de los Estados Unidos, Joe Biden , y el presidente ruso , Vladimir Putin , Biden dijo a la prensa: "Le dejé muy claro que Estados Unidos espera que cuando una operación de ransomware provenga de su suelo, incluso si no está patrocinada por el estado, actúen si les damos suficiente información para que actúen sobre quién es". Biden agregó más tarde que Estados Unidos derribaría los servidores del grupo si Putin no lo hacía. [133] [134] Cuatro días después, los sitios web de REvil y otra infraestructura desaparecieron de Internet. [135]
Si se sospecha o detecta un ataque en sus primeras etapas, lleva algún tiempo que se realice el cifrado; la eliminación inmediata del malware (un proceso relativamente simple) antes de que se complete evitaría más daños a los datos, sin recuperar los datos ya perdidos. [136] [137]
Los expertos en seguridad han sugerido medidas de precaución para lidiar con el ransomware. El uso de software u otras políticas de seguridad para bloquear el lanzamiento de cargas útiles conocidas ayudará a prevenir la infección, pero no protegerá contra todos los ataques [27] [138] Como tal, tener una solución de respaldo adecuada es un componente crítico para defenderse contra el ransomware. Tenga en cuenta que, debido a que muchos atacantes de ransomware no solo cifrarán la máquina en vivo de la víctima, sino que también intentarán eliminar cualquier copia de seguridad activa almacenada localmente o accesible a través de la red en un NAS , también es fundamental mantener copias de seguridad "fuera de línea" de los datos almacenados en ubicaciones inaccesibles desde cualquier computadora potencialmente infectada , como unidades de almacenamiento externas o dispositivos que no tienen acceso a ninguna red (incluido Internet) , evita que el ransomware acceda a ellos. Además, si se usa un NAS o almacenamiento en la nube , entonces la computadora debe tener permiso de solo anexar al almacenamiento de destino, de modo que no pueda eliminar ni sobrescribir copias de seguridad anteriores. Según comodo , la aplicación de dos reducciones de superficie de ataque en el sistema operativo / núcleo proporciona una superficie de ataque sustancialmente reducida, lo que da como resultado una postura de seguridad mejorada. [139] [140] [141]
La instalación de actualizaciones de seguridad emitidas por los proveedores de software puede mitigar las vulnerabilidades que aprovechan ciertas cepas para propagarse. [142] [143] [144] [145] [146] Otras medidas incluyen la higiene cibernética (tener cuidado al abrir archivos adjuntos y enlaces de correo electrónico) , la segmentación de la red y mantener las computadoras críticas aisladas de las redes. [147] [148] Además, para mitigar la propagación del ransomware se pueden aplicar medidas de control de infecciones . [149] Estas pueden incluir desconectar las máquinas infectadas de todas las redes, programas educativos, [150] canales de comunicación efectivos, vigilancia de malware [ ¿investigación original? ] y formas de participación colectiva [149]
En agosto de 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un informe que brindaba orientación sobre cómo mitigar los ataques de ransomware. Esto se debió a un aumento significativo en los ataques recientes relacionados con ransomware. Estos ataques incluyeron agresiones contra una empresa de oleoductos estadounidense y una empresa de software, que afectaron a los clientes finales de los MSP . [151]
Varios sistemas de archivos conservan instantáneas de los datos que contienen, que pueden usarse para recuperar el contenido de los archivos de un momento anterior al ataque del ransomware en caso de que el ransomware no los desactive.
Hay una serie de herramientas diseñadas específicamente para descifrar archivos bloqueados por ransomware, aunque la recuperación exitosa puede no ser posible. [2] [154] Si se utiliza la misma clave de cifrado para todos los archivos, las herramientas de descifrado utilizan archivos para los que existen copias de seguridad no dañadas y copias cifradas (un ataque de texto plano conocido en la jerga del criptoanálisis . Pero solo funciona cuando el cifrado que utilizó el atacante era débil para empezar, siendo vulnerable al ataque de texto plano conocido); la recuperación de la clave, si es posible, puede tardar varios días. [155] Las herramientas gratuitas de descifrado de ransomware pueden ayudar a descifrar archivos cifrados por las siguientes formas de ransomware: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear , Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, TeslaCrypt , XData. [156] El cifrado de ransomware que ha sido descifrado por investigadores de seguridad generalmente se abandona para fines delictivos; por lo tanto, en la práctica, la mayoría de los ataques no se pueden revertir rompiendo el cifrado. [157]
El Proyecto No More Ransom es una iniciativa de la Unidad Nacional de Delitos de Alta Tecnología de la policía de los Países Bajos , el Centro Europeo de Delitos Cibernéticos de Europol , Kaspersky Lab y McAfee para ayudar a las víctimas de ransomware a recuperar sus datos sin pagar un rescate. [158] Ofrecen una herramienta gratuita CryptoSheriff para analizar archivos cifrados y buscar herramientas de descifrado. [159]
Además, es posible que en el disco existan copias antiguas de archivos que hayan sido borrados previamente. En algunos casos, estas versiones borradas aún pueden recuperarse utilizando software diseñado para ese fin .
Una investigación de ProPublica de 2019 descubrió que las empresas de ciberseguridad Proven Data Recovery y Monstercloud, que anunciaban servicios de descifrado sin rescate, normalmente simplemente pagaban el rescate y cobraban a la víctima un precio más alto. [157] Los piratas informáticos de SamSam trataban con Proven Data con tanta frecuencia que recomendaban la empresa a las víctimas que tenían dificultades técnicas para realizar el pago. [157] Otras empresas como Coveware eran más transparentes al ofrecer el servicio de pagar a los piratas informáticos y parchar los sistemas inseguros. [157] Muchas víctimas estadounidenses descubrieron que el monto del rescate era demasiado bajo para cumplir con el umbral del Departamento de Justicia de los Estados Unidos para la participación federal, pero que la policía local carecía de las capacidades técnicas para ayudar y, a menudo, eran víctimas ellas mismas. [157]
Un estudiante británico, Zain Qaiser, de Barking, Londres, fue encarcelado durante más de seis años en el Tribunal de la Corona de Kingston upon Thames por sus ataques de ransomware en 2019. [160] Se dice que ha sido "el cibercriminal más prolífico en ser sentenciado en el Reino Unido". Comenzó a actuar cuando tenía solo 17 años. Se puso en contacto con el controlador ruso de uno de los ataques más poderosos, que se cree que es la banda de malware Lurk, y organizó una división de sus ganancias. También se puso en contacto con delincuentes en línea de China y Estados Unidos para mover el dinero. [160] Durante aproximadamente un año y medio, se hizo pasar por un proveedor legítimo de promociones en línea de publicidad de libros en algunos de los sitios web de pornografía legal más visitados del mundo. Cada uno de los anuncios que se promocionaban en los sitios web contenía la cepa Reveton Ransomware del malicioso Angler Exploit Kit (AEK) [161] que tomó el control de la máquina. Los investigadores descubrieron unas 700.000 libras de ganancias, aunque su red podría haber ganado más de 4 millones de libras. Es posible que haya escondido algo de dinero utilizando criptomonedas. El ransomware instruía a las víctimas a comprar vales GreenDot MoneyPak e introducir el código en el panel Reveton que se mostraba en la pantalla. Este dinero entraba en una cuenta MoneyPak gestionada por Qaiser, que luego depositaba los pagos de los vales en la cuenta de tarjeta de débito de su co-conspirador estadounidense, Raymond Odigie Uadiale. Uadiale fue estudiante en la Universidad Internacional de Florida durante 2012 y 2013 y más tarde trabajó para Microsoft. Uadiale convertía el dinero en la moneda digital Liberty Reserve y lo depositaba en la cuenta Liberty Reserve de Qaiser. [162]
En este caso, se produjo un gran avance en mayo de 2013, cuando las autoridades de varios países se apoderaron de los servidores de Liberty Reserve y obtuvieron acceso a todas sus transacciones e historial de cuentas. Qaiser estaba ejecutando máquinas virtuales cifradas en su Macbook Pro con sistemas operativos Mac y Windows. [163] No pudo ser juzgado antes porque fue internado (internado involuntariamente) en virtud de la Ley de Salud Mental del Reino Unido de 1983 en el Hospital Goodmayes , donde se descubrió que estaba utilizando el wifi del hospital para acceder a sus sitios de publicidad. Su abogado afirmó que Qaiser había sufrido una enfermedad mental. [160] La policía rusa arrestó a 50 miembros de la banda de malware Lurk en junio de 2016. [164] Uadiale, un ciudadano estadounidense naturalizado de ascendencia nigeriana, fue encarcelado durante 18 meses. [165]
La publicación de código de ataque de prueba de concepto es común entre investigadores académicos y de vulnerabilidades. Enseña la naturaleza de la amenaza, transmite la gravedad de los problemas y permite diseñar e implementar contramedidas. Sin embargo, los legisladores, con el apoyo de los organismos encargados de hacer cumplir la ley, están contemplando la posibilidad de ilegalizar la creación de ransomware. En el estado de Maryland, el borrador original de la HB 340 tipificaba como delito grave la creación de ransomware, punible con hasta 10 años de prisión. [166] Sin embargo, esta disposición se eliminó de la versión final del proyecto de ley. [ cita requerida ] Un menor en Japón fue arrestado por crear y distribuir código de ransomware. [167] Young y Yung tienen el código fuente ANSI C de un criptotroyano ransomware en línea, en cryptovirology.com, desde 2005 como parte de un libro de criptovirología que se está escribiendo. El código fuente del criptotroyano todavía está disponible en Internet y está asociado a un borrador del Capítulo 2. [168]
{{cite news}}
: CS1 maint: varios nombres: lista de autores ( enlace )Eliminación de ransomware