Admitamos que todos conocemos a alguien que ha sido afectado por un ransomware. Y no hablamos de recientes, sino el virus de la policía podría también ser un ejemplo. Sí, es un ransomware el virus de la policía.

La mayoría de ransomware se clasifica dentro de una de estas dos categorías: algunos virus ransomware impiden el acceso del usuario a su dispositivo tomando el control del login de usuario o mediante otro método similar; otros tipos de ransomware, comúnmente conocidos como crypto-ransomware (ransomware de cifrado), cifran las unidades de almacenamiento y su contenido, haciendo que sea imposible abrir carpetas y archivos o ejecutar programas.

En casi todos los casos, una vez que el ransomware se ha activado ejecuta alguna acción de notificación para dar a conocer al usuario que ha sido afectado por la amenaza y le notifica que su equipo ha sido bloqueado o sus datos han sido cifrados.

Si bien para hablar de toda la historia del ransomware se podría escribir un libro entero, hay momentos clave que ya sean por un cambio tecnológico o por alcance son muy relevantes. Vamos a ver un poco de historia del ransomware.

¿Sabías que el ransomware tiene sus inicios en 1989? Te lo mostramos:

1989: Troyano AIDS

La primera amenaza de este tipo se remonta nada más y nada menos que a 30 años atrás. Para la época que era, hay que mencionar la complejidad del troyano y más aún el vector de infección. Un académico de Harvard llamado Joseph L. Popp asistió a una conferencia de la OMS sobre el SIDA y, con ese pretexto, preparó miles de disquetes con “información” sobre la enfermedad.

La realidad es que los disquetes contenían un troyano que se activaba a los 90 reinicios de equipo y cifraba datos y ocultaba directorios.

De hecho, la amenaza fue tan adelantada a su época que debemos saltar 16 años después para tomar consideración de otro hecho relevante.

2005: Ransomware distribuido por Internet

La irrupción de Internet como la entendemos en la actualidad supuso un salto exponencial en la forma de entender las comunicaciones, el acceso a la información y a recursos que antes eran impensables. Obviamente, las amenazas evolucionaron haciendo foco en la distribución de malware por Internet.

GPCoder o Archievus fueron dos de las primeras amenazas que se distribuían e infectaban sistemas basados en Windows y tenían el objetivo de cifrar o múltiples archivos con determinadas extensiones (GPCoder) o la carpeta “Mis Documentos” en el caso de Archiveus. Las dos infecciones usaban un cifrado RSA de 2014 bits que hacía casi imposible recuperar la información si no se solicitaba la clave de descifrado. En el caso de Archiveus, para conseguir la clave (de nada más y nada menos que de 30 dígitos) había que visitar una web para comprar dicha clave.

2010 – 2012: Ransomware como negocio

Es momento de mencionar los ‘scareware’. Herramientas maliciosas que indicaban al usuario que estaba en peligro generando una alerta de seguridad falsa y enviando a los usuarios a una herramienta de seguridad engañosa. La primera amenaza de este tipo llamada ‘Vundo’ supuso el salto a la monetización intensiva de este tipo de prácticas criminales.

Los hackers empezaron a comprender que se podía ganar dinero con el ransomware y este hecho fue el detonante del crecimiento rápido en número de amenazas y de complejidad.

En este periodo también debemos destarcar el ‘Virus de la policía’, una adaptación de ‘Vundo’ que utilizaba mensajes amenazantes supuestamente de organismos encargados de hacer cumplir la ley, indicando al usuario una supuesta infracción que había sido detectada en su equipo, solicitando un pago a cambio de recuperar el control del equipo.

Este tipo de amenazas no cifraban sino que tomaban el control del sistema bloqueando su acceso, y en versiones más sofisticadas, evitando que el proceso fuera detenido. De este modo, el usuario veía bloqueado su equipo hasta no abonar el importe de la “multa”.

Saltando a la criptomoneda y botnet (2012-2014)

En este periodo, los hackers vieron que era más efectivo cifrar los datos de los usuarios que “asustarlos” con amenazas que con el paso del tiempo perdieron efectividad. Por esta misma razón, apareció el conocido CryptoLocker.

Este tipo de amenaza directamente avisaba al usuario de que tenía los datos cifrados y que debía pagar un rescate en un plazo de tres días. Si no se realizaba el pago, el malware eliminaba toda la información cifrada.

Además, es imporante tener en cuenta el salto tecnológico que supuso CryptoLocker al usar por primera vez una botnet para atacar equipos e infectarlos a través de páginas infectadas. Además para ampliar el número de vectores de infección, CryptoLocker hacía uso de técnicas de phishing por correo electrónico.

Con la aparición de la moneda digital, el negocio del ransomware de cifrado ha crecido desmesuradamente. La privacidad que proporciona la moneda digital hace de refugio perfecto para los hackers para reclamar el pago y permanecer prácticamente en el anonimato.

Es por eso que amenazas como CryptoWall generaran nada más y nada menos que 325 millones de dólares de ingresos.

La realidad del ransomware

Llegamos al último tramo de la historia. Los dispositivos móviles se han convertido también en target de hackers que saben que casi la mitad del tiempo que usamos un dispositivo conectado a Internet es a través de un móvil. Las amenazas de Android, a través de scams (enviando mensajes a contactos o faltos mensajes de paches), han ido creciendo rápidamente generando nuevas fuentes de ingresos a hackers.

A diferencia de muchos casos de ransomware que tienen su momento y luego son neutralizados de una manera u otra, la amenaza de CryptoWall nunca despareció. Evolucionado en cada una de sus cuatro versiones, CryptoWall fue pionero en técnicas que luego otros ransomware imitarían, tales como el uso de copias de entradas de clave del registro que permitían al malware cargarse tras cada reinicio. Una medida inteligente, ya que el malware no siempre se ejecuta inmediatamente sino que suele esperar a que se pueda conectar al servidor remoto que contiene la clave de cifrado. La carga automática tras cada reinicio maximizaba las posibilidades de que esto ocurriera.

El 12 de mayo de 2017, el gusano ransomware que pasaría a ser conocido en todo el mundo como WannaCry afectó a sus primeras víctimas en España, y en cuestión de horas ya se había propagado a cientos de ordenadores en decenas de países. Unos días más tarde, el total de afectados ya había superado el cuarto de millón, haciendo de WannaCry el mayor ataque de ransomware de la historia y logrando que el mundo entero prestase atención a esta amenaza.

Lo que hizo a Wannacry tan eficaz, así como que impactase tanto al público general, fue la manera en la que se propagaba. No empleaba estafas de phishing ni descargas desde sitios botnet comprometidos; en lugar de eso, WannaCry marcó un antes y un después en las áreas objetivo del ransomware al estar diseñado para atacar conocidas vulnerabilidades de los equipos aprovechando filtraciones de herramientas de la NSA que mostraban cómo explotar vulnerabilidades no detectadas en equipos basados en Windows. Es decir, el vector de infección que usa WannaCry es realmente un arma informática desarrollada por un estado.

Esto no acaba aquí… Actualmente, existen infinidad de kits de creación de ransomwares que pueden adquirirse a través de la red Tor y permiten a un usuario sin apenas conocimientos crear un malware a base de clicks de ratón.

Es evidente que pasar de enviar disquetes a usuarios a distribuir amenazas internacionalmente  usando vulnerabilidades de la NSA es un salto increíble. Delante de esta amenaza, ¿Cómo te estás protegiendo frente al ransomware?

Desde Velorcios os recomendamos Sophos Intercept X, ya que combina la protección contra malware y exploits mejor valorada del mercado con la detección y respuesta para endpoints (EDR) integradas.

Velorcios CTA guia anti-ransomware