El primer ataque de extorsión de malware conocido, fue el “Troyano del SIDA” escrito por Joseph Popp en 1989, el ransomware tenía un fallo de diseño tan grave que no fue necesario pagarle al extorsionador.
La carga útil ocultaba los archivos en el disco duro y encriptaba solo los nombres, mostrando un mensaje que afirmaba que la licencia del usuario para usar un determinado software había expirado.
El malware pedía al usuario que pagase 189 dólares a “PC Cyborg Corporation” si quería lograr una herramienta capaz de reparar los archivos, aunque la clave de descifrado se podía extraer del propio código del troyano.
El troyano también se denominaba “PC Cyborg” y su creador Popp, fue declarado mentalmente incapacitado para ser investigado y juzgado por sus acciones.
Más tarde, en 1992, Sebastiaan von Solms y David Naccache introdujeron la idea de abusar de los sistemas de efectivo anónimos para cobrar el rescate del secuestro de personas de manera segura. Este método de cobro de dinero electrónico también se propuso para los ataques de extorsión criptovírica.
Sobre el escenario Solms y Naccache, utilizaron una publicación de periódico (ya que los libros de bitcoin no existían en el momento en que se escribió el documento).
La noción de utilizar criptografía de clave pública en ataques capaces de secuestrar datos fue introducida en 1996 por Adam L. Young y Moti Yung.
Young y Yung criticaron el fallido troyano de denominado SIDA basado únicamente en la criptografía simétrica, con el error fatal de que la clave de descifrado se podía extraer del propio troyano e implementaron un criptovirus experimental de prueba sobre un Macintosh SE/30 que usaba RSA y el Tiny Encryption Algorithm (TEA) para encriptar de forma híbrida los datos de la víctima.
Dado que se utiliza criptografía de clave pública, el virus solamente contenía la clave de cifrado y el atacante mantiene la correspondiente clave privada de descifrado.
El criptovirus experimental original de Young y Yung hizo que la víctima enviara el texto cifrado asimétrico al atacante, quién lo descifraba y se devolvía la clave de descifrado simétrico a la víctima a cambio de una tarifa.
Se refirieron a estos ataques como “extorsión criptoviral” que abarca tanto los ataques abiertos como encubiertos, los ejemplos de ransomware se hicieron prominentes en Mayo de 2005.
A mediados de 2006, los troyanos como Gpcode, TROJ.RANSOM.A, Archiveus , Krotten, Cryzip y MayArchive comenzaron a utilizar esquemas de cifrado RSA más sofisticados.
Utilizando claves cada vez de mayor tamaño, el troyano
Gpcode.AG
que se detectó en junio de 2006 fue cifrado cifrado con una clave pública RSA de 660 bits.
En junio de 2008, se detectó una variante conocida como
Gpcode.AK
que usaba una clave RSA de 1024 bits- Por entonces, se creía que era lo suficientemente grande como para ser computacionalmente imposible de romper sin un gran esfuerzo.
El cifrado de ransomware volvió a cobrar importancia a finales de 2013 con la propagación de CryptoLocker, que utilizaba la criptomoneda moneda digital de Bitcoin para cobrar el dinero del rescate.
En diciembre de 2013, ZDNet estimó basándose en la información de las transacciones de Bitcoin; que entre el 15 de octubre y el 18 de diciembre, los operadores de CryptoLocker habrían obtenido al menos 27 millones de dólares de usuarios infectados.
La técnica de cryptolocker fue copiado ampliamente en los meses siguientes, incluyendo malware como Cryptolocker 2,0 (no relacionada con cryptolocker), CryptoDefense (que inicialmente contenía un importante defecto de diseño que almacenaba la clave privada en el sistema infectado en un usuario recuperable, debido al uso de las API de cifrado integradas de Windows) y el descubrimiento en Agosto de 2014 de un troyano dirigido específicamente a dispositivos de almacenamiento conectados a la red producido por Synology.
En enero de 2015, se informó que se habían producido ataques de estilo ransomware contra sitios web individuales mediante piratería y mediante ransomware diseñados para atacar servidores web basados en Linux.
En algunas infecciones, hay una carga útil de dos etapas, común en muchos sistemas de malware. Se engaña al usuario para que ejecute un script que es el encargado de descargar el virus principal y ejecutarlo.
En las primeras versiones del sistema de carga dual, la secuencia de comandos estaba contenida en un documento de Microsoft Office con una macro VBScript adjunta o en un archivo de instalación de secuencias de comandos de Windows (WSF).
Cuando los sistemas de detección comenzaron a bloquear estas cargas útiles de primera etapa, el Centro de protección contra malware de Microsoft identificó una tendencia hacia los archivos LNK con scripts autónomos de Microsoft Windows PowerShell.
En 2016, se descubrió que PowerShell estaba involucrado en casi el 40% de los incidentes de seguridad mediante la terminal.
Algunas variedades de ransomware han utilizado proxies vinculados a servicios ocultos de Tor para conectarse a sus servidores de comando y control, lo que aumenta la dificultad de rastrear la ubicación exacta de los delincuentes.
Además, los proveedores de la web oscura han comenzado cada vez más a ofrecer la tecnología como un servicio. Symantec ha clasificado al ransomware como la amenaza cibernética más peligrosa.
El 28 de septiembre de 2020, los sistemas informáticos del mayor proveedor de atención médica de EE. UU. -Universal Health Services- se vieron afectados por un ataque de ransomware.
La cadena UHS de diferentes ubicaciones informó haber notado problemas y algunas ubicaciones informaron de computadoras y sistemas telefónicos bloqueados desde la madrugada del 27 de Septiembre.
Desde entonces hasta la actualidad, 2021, los ataques de ransomware han sido una constante que no ha dejado de atacar contra organizaciones, estados e instalaciones criticas para cualquier país.
Ransomware no cifrado
En agosto de 2010, las autoridades rusas arrestaron a nueve personas conectadas a un troyano ransomware conocido como WinLock. A diferencia del troyano Gpcode anterior, WinLock no utilizaba cifrado.
En cambio, WinLock restringió trivialmente el acceso al sistema mostrando imágenes pornográficas y pidió a los usuarios que enviaran un SMS de tarifa premium (que cuesta alrededor de 10 dólares) para recibir un código que podría usarse para desbloquear sus máquinas.
La estafa afectó a numerosos usuarios en Rusia y países vecinos, supuestamente habrían logrado generar más de 16 millones de dólares.
En 2011, apareció un troyano ransomware que imitaba el aviso de activación de productos de Windows e informaba a los usuarios que la instalación de Windows de un sistema tenía que reactivarse debido a que “era víctima de un fraude”.
El bicho ofrecia una opción de activación en línea (como el proceso de activación de Windows real) pero que al entrar no estaba disponible, lo que requería que al usuario llamar a uno de seis números internacionales para ingresar un código de 6 dígitos.
Si bien el malware afirmaba que esa llamada era gratuita, la llamada era enrutada a través de un operador deshonesto en un país con altas tarifas telefónicas internacionales.
Las llamadas eran puestas en espera y eso provocaba que el usuario incurriera en grandes cargos de llamadas internacionales.
En febrero de 2013, apareció un troyano ransomware basado en el kit de explotación Stamp.EK; el malware se distribuyó a través de sitios alojados en los servicios de alojamiento del proyecto SourceForge y GitHub que afirmaban ofrecer “fotografías de desnudos falsos” de celebridades.
En Julio de 2013, apareció un troyano ransomware específico para OS X, que mostraba una página web acusando al usuario de descargar pornografía.
A diferencia de sus contrapartes basadas en Windows, no bloqueaba la computadora, sino que simplemente explotaba el comportamiento del navegador web para frustrar los intentos de cerrar la página por los medios normales.
También en Julio de 2013, un hombre de Virginia de 21 años, cuya computadora contenía casualmente fotografías pornográficas de niñas menores de edad con las que había mantenido comunicaciones sexualizadas. Se entregó a la policía después de recibir y ser engañado por el FBI MoneyPak Ransomware acusándolo de poseer pornografía infantil.
Una investigación posterior descubrió los archivos incriminatorios y finalmente, el hombre fue acusado de abuso sexual infantil y posesión de pornografía infantil.
Exfiltración (Leakware / Doxware)
Lo contrario del ransomware es un ataque de criptovirología inventado por Adam L. Young que amenaza con publicar información robada del sistema informático de la víctima en lugar de negarle el acceso a ella.
En un ataque de fugas, el malware exfiltra datos confidenciales del host al atacante 0 a instancias remotas del malware y el atacante amenaza con publicar los datos de la víctima a menos que se pague un rescate.
El ataque se presentó en West Point en 2003 y se resumió en el libro de “Criptografía maliciosa” de la siguiente manera.
“El ataque se diferencia del ataque de extorsión de la siguiente manera. En el ataque de extorsión, a la víctima se le niega el acceso a su propia información valiosa y tiene que pagar para recuperarla, mientras que en el ataque que aquí se presenta la víctima retiene el acceso a la información pero su divulgación queda a discreción del virus informático “.
El ataque tiene sus raíces en la teoría de juegos y originalmente se denominó “juegos de suma distinta de cero y malware de supervivencia”.
El ataque puede generar ganancias monetarias en los casos en que el malware adquiera acceso a información que pueda dañar al usuario u organización víctima, por ejemplo, el daño a la reputación que podría resultar de publicar pruebas de que el ataque en sí fue un éxito.
Los objetivos comunes de exfiltración incluyen:
- Información de terceros almacenada por la víctima principal (como información de la cuenta del cliente o registros médicos).
- Información de propiedad de la víctima (como secretos comerciales e información de productos).
- Información vergonzosa (como información sobre la salud de la víctima o información sobre el pasado personal de la víctima).
Los ataques de exfiltración suelen tener un objetivo, con una lista de víctimas seleccionadas y a menudo, una vigilancia preliminar de los sistemas de la víctima para encontrar posibles objetivos y puntos débiles de los datos.
Ransomware móvil
Con la creciente popularidad del ransomware hacía las computadoras, también ha estado proliferado el ransomware dirigido a sistemas operativos móviles.
Por lo general, las cargas útiles de ransomware móvil son bloqueadores, ya que hay pocos incentivos para cifrar los datos, ya que se pueden restaurar fácilmente a través de la sincronización en línea.
El ransomware móvil generalmente se dirige al sistema operativo de Android, ya que permite que las aplicaciones se instalen desde fuentes de terceros.
La carga útil se distribuye normalmente como un archivo de una aplicación APK instalado por un usuario desprevenido; y puede intentar mostrar un mensaje de bloqueo sobre todas las demás aplicaciones.
Mientras que en otros casos se utiliza una forma de clickjacking para lograr hacer que el usuario otorgue privilegios de “administrador del dispositivo” y así poder introducirse en el sistema.
Se han utilizado diferentes tácticas frente a dispositivos iOS, como explotar las cuentas de iCloud o usar el sistema Find My iPhone para bloquear el acceso al dispositivo.
En la versión de iOS 10.3, Apple corrigió un error en el manejo de ventanas emergentes de JavaScript para Safari que había sido explotado por sitios web de ransomware.
Recientemente, también se ha demostrado que el ransomware es capaz de apuntar a arquitecturas ARM como las que se pueden encontrar en varios dispositivos de Internet de las cosas (IoT).
Incluso, en agosto de 2019, unos perspicaces investigadores demostraron que era posible infectar hasta una cámara digital DSLR o lo que es lo mismo, una cámara fotográfica réflex con ransomware.
Las cámaras digitales a menudo usan Picture Transfer Protocol (PTP – protocolo estándar usado para transferir archivos) y los investigadores encontraron que era posible explotar vulnerabilidades en el protocolo para infectar las cámaras mediante ransomware (para poder ejecutar en ellas cualquier código arbitrario).
Ese ataque se presentó en la conferencia de seguridad Defcon de Las Vegas como una prueba de ataque de concepto (no como un malware armado real).
El crecimiento del ransomware
El software malintencionado de ransomware ha evolucionado desde sus inicios, cuando se limitaba a uno o dos países de Europa del Este, que luego se extendía por el Atlántico hasta Estados Unidos y Canadá.
El número de ciberataques durante 2020 fue el doble que en 2019.
Las primeras versiones de este tipo de malware utilizaron diversas técnicas para inutilizar los equipos bloqueando la máquina del sistema de las víctimas (Locker Ransomware).
Algunos ejemplos de cómo funciona este ransomware incluyen; bloquear la pantalla mostrando un mensaje de una rama de la aplicación de la ley local que indica las líneas del usuario como “Ha examinado materiales ilícitos y debe pagar una multa”.
Fueron vistos por primera vez en Rusia en el año 2009 afirmando ser un mensaje de Microsoft. También solían solicitar un pago enviando un mensaje SMS a un número de tarifa premium. La siguiente variante mostraba contenido de imágenes pornográficas y exigía el pago por su eliminación.
En 2011 las tácticas cambiaron, los atacantes empezaron a utilizar métodos de pago electrónico y agregaron más idiomas a los mensajes que también cambiaron en función de la ubicación del usuario que se obtuvo mediante la geolocalización de las direcciones IP del usuario.
Estos ataques no solo afectan a los usuarios finales. Las corporaciones, las entidades privadas, el gobierno e incluso los hospitales también se ven afectados. Por ejemplo, en el sector sanitario (aunque 2015 fue el año en el que se produjeron las mayores filtraciones de datos ePHI según la ONC) 2016 fue el año en el que el ransomware empezó a aumentar exponencialmente en este mercado.
Según el Informe de amenazas a la seguridad en Internet de 2017 de Symantec Corp, el ransomware afecta no solo a los sistemas de TI, sino también a la atención del paciente, las operaciones clínicas y la facturación.
Los delincuentes en línea han descubierto que “se podía ganar dinero fácilmente con el cuidado de la salud”, según el informe de Symantec, que se desarrolló con datos de reclamaciones de seguros y del Departamento de Salud y Servicios Humanos de EE. UU. (HHS).
El ransomware está creciendo rápidamente entre los usuarios de Internet, pero también para el entorno de IoT que crea un problema desafiante para INFOSEC al tiempo que aumenta la superficie de ataque.
Están evolucionando hacia ataques más sofisticados y se están volviendo más resistentes; al mismo tiempo, también son más accesibles que nunca. Hoy, por un precio económico, los atacantes tienen acceso a ransomware como servicio.
El gran problema es que algunas organizaciones e industrias que han decidido pagar, pierden millones de dólares, como el Hollywood Presbyterian Medical Center y MedStar Health.
Al final, la presión para ofrecer servicios a los pacientes y mantener sus vidas es tan crítica que se ven obligados a pagar, y el atacante lo sabe. El problema aquí es que al pagar el rescate, están financiando el ciberdelito.
Según el informe ISTR de Symantec 2019, por primera vez desde 2013, en 2018 se observó una disminución en la actividad de ransomware con una caída del 20 por ciento. Antes de 2017, los consumidores eran las víctimas preferidas, pero en 2017 esto cambió drásticamente, se trasladó a las empresas. En 2018, este camino se aceleró con un 81 por ciento de infecciones, lo que representó un aumento del 12 por ciento.
El método de distribución común en la actualidad se basa en campañas de correo electrónico.
La primera muerte reportada luego de un ataque de ransomware fue en un hospital alemán en octubre de 2020.
Un programa de capacitación en conciencia cibernética eficaz y exitoso debe ser patrocinado desde la cima de la organización con políticas y procedimientos de apoyo que describan de manera efectiva las ramificaciones del incumplimiento, la frecuencia de la capacitación y un proceso para reconocer la capacitación. Sin el patrocinio de los ejecutivos de “nivel C”, no se puede ignorar la formación.
Otros factores que son clave para un programa exitoso de Capacitación en Conciencia Cibernética es establecer una línea de base que identifique el nivel de conocimiento de la organización para establecer dónde están los usuarios en su conocimiento antes y después de la capacitación.
Cualquiera que sea el enfoque que una organización decida implementar, es importante que la organización cuente con políticas y procedimientos que brinden capacitación actualizada.
La inversión en tecnología para detectar y detener estas amenazas debe mantenerse, pero junto con eso debemos recordar y enfocarnos en nuestro eslabón más débil, que es el usuario.
Detenciones y condenas penales en relación al ransomware
Zain Qaiser
Un estudiante británico, Zain Qaiser, de Barking, Londres, fue encarcelado durante más de seis años en el Kingston Crown Court por sus ataques de ransomware en 2019.
Se dice que fue el ciberdelincuente más prolífico condenado en el Reino Unido.
Se volvió activo cuando solo tenía 17 años. Se puso en contacto con el controlador ruso de uno de los ataques más poderosos, que se cree que es la banda de malware Lurk y organizó una división de sus ganancias.
También se puso en contacto con delincuentes en línea de China y Estados Unidos para mover el dinero.
Durante aproximadamente un año y medio, se hizo pasar por un proveedor legítimo de promociones en línea de publicidad de libros en algunos de los sitios web de pornografía legal más visitados del mundo.
Cada uno de los anuncios que se promocionó en los sitios web contenía Reveton Ransomwarecepa del malicioso Angler Exploit Kit (AEK) que tomó el control de la máquina.
Los investigadores descubrieron alrededor de £ 700,000 de ganancias, aunque su red pudo haber ganado más de £ 4 millones. Es posible que haya escondido algo de dinero usando criptomonedas.
El ransomware indicaría a las víctimas que compren cupones GreenDot MoneyPak e ingresen el código en el panel de Reveton que se muestra en la pantalla.
Este dinero ingresó a una cuenta MoneyPak administrada por Qaiser, quien luego depositaría los pagos del cupón en la tarjeta de débito de un conspirador estadounidense, la de Raymond Odigie Uadiale, quién entonces era estudiante en la Universidad Internacional de Florida durante 2012 y 2013 y luego trabajó para Microsoft.
Uadiale convertiría el dinero en Liberty Reservemoneda digital y deposítela en la cuenta Liberty Reserve de Qaiser.
Un gran avance en este caso ocurrió en mayo de 2013 cuando autoridades de varios países incautaron los servidores de Liberty Reserve, obteniendo acceso a todas sus transacciones e historial de cuentas.
Qaiser estaba ejecutando máquinas virtuales encriptadas en su Macbook Pro con sistemas operativos Mac y Windows.
No pudo ser juzgado antes porque estaba seccionado bajo la Ley de Salud Mental del Reino Unido en el Hospital Goodmayes (donde se descubrió que estaba usando el Wi-Fi del hospital para acceder a sus sitios publicitarios).
Su abogado afirmó que Qaiser había sufrido de enfermedad mental. La policía rusa arrestó a 50 miembros de la banda de malware Lurk en junio de 2016.
Uadiale, ciudadano estadounidense naturalizado de ascendencia nigeriana, fue encarcelado durante 18 meses.
Desafíos a la libertad de expresión y castigo penal
La publicación de código de ataque de prueba de concepto es común entre los investigadores académicos y los investigadores de vulnerabilidades.
Enseña la naturaleza de la amenaza, transmite la gravedad de los problemas y permite diseñar y poner en práctica contramedidas.
Sin embargo, los legisladores, con el apoyo de los organismos encargados de hacer cumplir la ley, están contemplando la posibilidad de ilegalizar la creación de ransomware.
En el estado de Maryland, el borrador original de la HB 340 convirtió en delito la creación de ransomware, punible con hasta 10 años de prisión. Sin embargo, esta disposición fue eliminada de la versión final del proyecto de ley.
Un menor en Japón fue arrestado por crear y distribuir código de ransomware.
Young y Yunghe han tenido el código fuente ANSI C para un criptotroyano de ransomware en línea, en cryptovirology.com, desde 2005 como parte de un libro de criptovirología que se está escribiendo. El código fuente del criptotroyano todavía está disponible en Internet.
⏩ Malware: Ransomware Ryuk (Capítulo 13)
⏪ Malware: Los Ransomware de Criptovirología más Conocidos (Capítulo 11)
? Herramientas Hacking ? Recursos Hacking
?♀️ Cursos Seguridad en Red ? Cursos Redes ⛅ Cursos Servicios en Nube ?♂️ Libros Seguridad y Criptografía ? Libros Redes