Malware: Los Ransomware de Criptovirología más Conocidos

Existen reconocidos ransomware que han logrado alcanzar a infinidad de víctimas a lo largo de los tiempos, a continuación vamos a profundizar un poco más en algunos de ellos.

Entre algunos de los ransomware más conocidos, se encuentran entre otros muchos:

Reveton, Cryptolocker, CryptoLocker.F and TorrentLocker, Cryptowall, Fusob, Wannacry, Petya, Bad Rabbit, Samsam, DarkSide, Siskey o Ryuk, del que ya hemos hablado a raíz del ataque sufrido por las instituciones españolas.

Reveton

En 2012, comenzó a extenderse un importante troyano ransomware conocido como Reveton.

Basado en el troyano Citadel (que a su vez se basa en el troyano Zeus) su carga útil mostraba una advertencia supuestamente de una agencia de la ley que afirmaba que la computadora se había usado para actividades ilegales, como descargar software sin licencia o pornografía infantil.

Debido a ese comportamiento, se le conoce comúnmente como el “troyano policia”.

La advertencia informaba al usuario de que para desbloquear el sistema, tendría que pagar una multa con un vale de servicio prepago de forma anónima mediante Paysafecard o Ukash.

Para aumentar la ilusión de que la policía estaba rastreando la computadora, la pantalla también mostraba la dirección IP de la computadora, mientras que algunas versiones mostraban imágenes de la cámara web de la víctima para dar la impresión de que el usuario estaba siendo grabado.

Reveton inicialmente comenzó a difundirse en varios países europeos a principios de 2012.

Se encontraron variantes con plantillas de diferentes logotipos de organizaciones encargadas de cumplir la ley dependiendo del país del usuario.

Por ejemplo, las variantes utilizadas en el Reino Unido contenían los logos de organizaciones como el Servicio de Policía Metropolitana y la Unidad Nacional de Delitos Electrónicos de la Policía.

Otras versiones, contenían el logo de la sociedad de recaudación de regalías PRS for Music que acusaba específicamente al usuario de descargar música ilegal.

En un comunicado advirtiendo al público sobre el malware, la Policía Metropolitana aclaró que nunca bloquearían una computadora de esa manera como parte de una investigación.

En Mayo de 2012, los investigadores de amenazas de Trend Micro descubrieron plantillas para Estados Unidos y Canadá, lo que sugiere que los autores habrían estado dirigirse hacía usuarios de América del Norte.

En Agosto de 2012, una nueva variante de REVETON comenzó a difundirse en los Estados Unidos, requiriendo el pago de 200 dólares al FBI a través del servicio MoneyPak.

En Febrero de 2013, un ciudadano ruso fue arrestado en Dubai por las autoridades españolas por su conexión con una red criminal que había estado usando Reveton, junto a otras diez personas fueron juzgados con cargos de lavado de dinero.

En Agosto de 2014, Avast Software informó que había encontrado nuevas variantes de Reveton que también distribuían malware capaz de robar las contraseñas como parte de su carga útil.

CryptoLocker

El ransomware de cifrado reapareció en Septiembre de 2013 con un troyano conocido como CryptoLocker.

Cryptolocker generaba un par de claves RSA de 2048 bits y se cargaba a su vez en un servidor de comando y control, era utilizado para cifrar archivos mediante una lista blanca de extensiones de archivo específicas.

El malware amenazaba con eliminar la clave privada si no se realizaba un pago de Bitcoin o un vale en efectivo dentro de los posteriores 3 días a la infección.

Debido al tamaño de la clave extremadamente grande que utilizaba, los analistas y los afectados por el troyano consideraron que CryptoLocker era extremadamente difícil de reparar.

Incluso después de que pasara el plazo, la clave privada aún podría obtenerse mediante una herramienta en línea, pero el precio aumentaría hasta los 10 BTC que por entonces serían unos 2.300 dólares.

CryptoLocker.F y TorrentLocker

En Septiembre de 2014, surgió una ola de troyanos de ransomware se dirigieron por primera vez a usuarios de Australia.

Bajo los nombres CryptoWall y CryptoLocker (que, como con CryptoLocker 2.0, no está relacionado con el CryptoLocker original).

Los troyanos se difundian a través de correos electrónicos fraudulentos que afirmaban ser avisos de entregas de paquetes fallidas de Australia Post.

Para evadir la detección mediante escáneres automáticos de correos electrónicos que siguen todos los enlaces en una página para buscar malware, esta variante fue diseñada para requerir que los usuarios visitasen una página web e ingresaran un código CAPTCHA antes de que la carga útil se descargase realmente.

Eso evitaba que tales procesos automatizados pudiesen escanear la carga útil.

Symantec determinó que esas nuevas variantes que se identificaron como CryptoLocker.F, no estaban relacionadas con el CryptoLocker original debido a las diferencias en su funcionamiento.

Otro troyano similar, TorrentLocker, inicialmente contenía un defecto de diseño comparable a CryptoDefense, utilizaba el mismo flujo de claves para cada computadora infectada. Lo que hacía que el cifrado fuese trivial de superar.

Sin embargo, la falla fue corregida por sus creadores con el paso del tiempo.

A finales de Noviembre de 2014, se estimó que más de 9.000 usuarios habían sido infectados por TorrentLocker solo en Australia, solo detrás de Turquía con 11.700 infecciones.

CryptoWall

Una víctima notable de los troyanos fue la Australian Broadcasting Corporation (cadena de TV australiana) puesto que su programación en vivo en su canal de noticias de televisión ABC News 24 se vio interrumpida durante media hora.

La infección del malware CryptoWall terminaría siendo la culpa de que todas las computadoras del estudio de Sydney se hubiesen quedado inutilizables.

CryptoWall, apareció por primera vez en 2014 y una cepa de CryptoWall se distribuyo como parte de una maliciosa campaña en la red de publicidad Zedo a finales de Septiembre 2014 que tenía como objetivo a varios sitios web importantes.

Los anuncios redirigidos a sitios web fraudulentos utilizaban exploits de complementos del navegador para descargar la carga útil.

Un investigador de Barracuda Networks también señaló que la carga útil era firmada con una firma digital en un esfuerzo por parecer confiable para el software de seguridad.

CryptoWall 3.0 utilizó una carga útil escrita en JavaScript como parte de un archivo adjunto de correo electrónico, que descargaba ejecutables disfrazados de imágenes JPG.

Para evadir aún más la detección, el malware creaba nuevas instancias de explorer.exe y svchost.exe para comunicarse con los servidores.

Al cifrar los archivos, el malware también eliminaba las instantáneas de volumen e instalaba software espía capaz de robar las contraseñas y carteras de Bitcoin.

El FBI informó en Junio de 2015 que casi 1.000 víctimas se habían puesto en contacto con el Centro de Quejas de Delitos en Internet para informar infecciones mediante CryptoWall y unas pérdidas estimadas de al menos 18 millones de dólares.

La versión más reciente, CryptoWall 4.0, mejoró el código para evitar la detección de antivirus y encriptar no solo los datos de los archivos si no que también los nombres de los archivos.

Fusob

Fusob es una de las principales familias de ransomware móvil. Entre abril de 2015 y Marzo de 2016, alrededor del 56% del ransomware móvil se contabilizado como Fusob.

Al igual que un ransomware móvil típico, Fusob empleaba tácticas de miedo para extorsionar a las personas y lograr que pagasen un rescate.

El programa pretendía ser una autoridad acusadora, exigiendo a la víctima que pagase una multa de entre 100 y 200 dólares o de lo contrario se tendría que enfrentar a algún cargo ficticio.

Sorprendentemente, Fusob sugería usar tarjetas de regalo de iTunes para realizar los pagos y además, instalaba un temporizador que iba haciendo el sonido de un reloj sobre el escritorio de las victimas para aumentar su ansiedad.

Para infectar los dispositivos, Fusob se enmascaraba como un reproductor de vídeos pornográficos, por lo que las víctimas pensaban que era inofensivo y lo descargaban desde el desconocimiento.

Cuando se instalaba Fusob, primero se verificaba el idioma utilizado en el dispositivo. Si usabas ruso o cierto idiomas de Europa del Este, Fusob no hacía nada. De lo contrario, procedía a bloquear el dispositivo y exigirte un rescate.

Entre las víctimas, alrededor del 40% de ellas se calculo que se encontraban individuos alemanes, seguidas por los usuarios del Reino Unido y los de Estados Unidos con un 14,5% y un 11,4% respectivamente.

Fusob tiene mucho en común con Small que es otra familia importante de ransomware móvil, entre ambos representaron más del 93% del ransomware móvil entre 2015 y 2016.

WannaCry

En Mayo de 2017, el ataque de ransomware WannaCry se propagó a través de Internet utilizando un vector de explotación llamado EternalBlue que supuestamente se filtró de la Agencia de Seguridad Nacional de EE. UU.

El ataque de ransomware, sin precedentes en cuanto a su escala, se calcula que alcanzó a más de 230.000 computadoras en más de 150 países de 20 idiomas diferentes.

WannaCry exigía un rescate mediante Bitcoins si la victima deseaba recuperar sus datos, 300 dólares a cada una de sus victimas.

El ataque afectó a Telefónica y varias mega empresas de España, así como a gran parte del Servicio Nacional de Salud británico (NHS) donde al menos 16 hospitales tuvieron que rechazar pacientes o cancelar operaciones programadas.

Otras empresas afectadas habrían sido: FedEx, Deutsche Bahn, Honda, Renault, así como el Ministerio del Interior ruso y la empresa de telecomunicaciones rusa MegaFon.

Los atacantes daban a sus víctimas hasta un plazo de 7 días a partir del día en que se infectaban las computadoras y si no, después de ese plazo se eliminarían todos los archivos cifrados.

Petya

Petya fue descubierta por primera vez en Marzo de 2016, a diferencia de otras formas de cifrado de ransomware, el malware tenía como objetivo infectar el registro maestro de inicio.

Instalando una carga útil que se encargaba de cifrar las tablas de archivos del sistema de archivos NTFS, la siguiente vez que se iniciase el sistema operativo estaría infectado.

El malware bloqueaba a la computadora de iniciar el sistema operativo de Windows hasta que la victima pagase el rescate.

Check Point informó que a pesar de lo que se creía que era una evolución innovadora en el diseño de ransomware, había resultado en relativamente menos infeccioso que otros ransomware activos en ese mismo período de tiempo.

El 27 de Junio de 2017, se utilizó una versión muy modificada de Petya para realizar un ciberataque global dirigido principalmente a Ucrania (pero que afectó a muchos otros países.

Esa versión había sido modificada para propagarse usando el mismo exploit EternalBlue que fue usado por WannaCry.

Debido a cambios en el diseño, tampoco se podía desbloquear el sistema después de pagar el rescate y eso llevó a los analistas de seguridad a especular de que el ataque no estaba destinado a generar ganancias ilícitas.

Simplemente, se intentaba causar graves interrupciones de todo el sistema.

Bad Rabbit

El 24 de Octubre de 2017, algunos usuarios de Rusia y Ucrania informaron de un nuevo ataque de ransomware, llamado Bad Rabbit.

El malware seguía un patrón similar a WannaCry y Petya, cifrando las tablas de archivos del usuario y luego exigiendo un pago en Bitcoin para descifrarlas.

ESET creía que el ransomware se había distribuido mediante una actualización falsa del software Adobe Flash.

Entre las agencias afectadas por el ransomware se encontraban: Interfax, el Aeropuerto Internacional de Odesa, el Metro de Kiev y el Ministerio de Infraestructura de Ucrania.

Como el malware utilizó estructuras de redes corporativas para propagarse, el ransomware también se descubrió en otros países; entre otros, Turquía, Alemania, Polonia, Japón, Corea del Sur o Estados Unidos.

Los expertos creían que el ataque de ransomware estaba relacionado con el ataque de Petya en Ucrania (especialmente porque el código de Bad Rabbit tenía muchos elementos superpuestos y analógicos con el código de Petya/NotPetya, anexando a CrowdStrike Bad Rabbit y al DLL de NotPetya) de hecho compartían hasta el 67 por ciento del mismo código.

Aunque la única identidad de los culpables que se logro encontrar, fueron los nombres de los personajes de la serie Game of Thrones incrustados en el código.

Los expertos en seguridad descubrieron que el ransomware no utilizó el exploit EternalBlue para propagarse y el 24 de octubre de 2017 se encontró un método simple para vacunar a las computadoras.

Además, los sitios que se habían utilizado para propagar la actualización falsa de Flash se habrían desconectado o eliminado a los pocos días de su descubrimiento, paralizando efectivamente la propagación de Bad Rabbit.

SamSam

En 2016, surgió una nueva variedad de ransomware que tenía como objetivo los servidores JBoss.

Se descubrió que esta variedad, denominada SamSam, evitaba el proceso de phishing o descargas ilícitas en favor de la explotación de vulnerabilidades en servidores débiles.

El malware utilizaba un ataque de fuerza bruta del Protocolo de Escritorio Remoto para adivinar contraseñas débiles hasta que una se rompía.

El virus ha estado detrás de los ataques a objetivos gubernamentales y de atención médica, con ataques notables contra la ciudad de Farmington, Nuevo México, el Departamento de Transporte de Colorado, el condado de Davidson, Carolina del Norte y más recientemente, una importante violación de seguridad sobre la infraestructura de Atlanta.

Mohammad Mehdi Shah Mansouri (nacido en Qom , Irán en 1991) y Faramarz Shahi Savandi (nacido en Shiraz, Irán, en 1984) son buscados por el FBI por presuntamente lanzar el ransomware SamSam.

Los dos, supuestamente habrían ganado 6 millones de dólares de las extorsiones y habrían causado más de 30 millones de dólares en daños usando el malware SamSam.

DarkSide

El 7 de mayo de 2021 se ejecutó un ciberataque en el Oleoducto Colonial de EE. UU..

La Oficina Federal de Investigaciones identificó a DarkSide como el autor del ataque de ransomware perpetrado por código malicioso hacía la compañía Colonial Pipeline que provocó el cierre voluntario del oleoducto principal.

Ese oleoducto se encarga de suministrar hasta el 45% del combustible de la costa este de los Estados Unidos.

El ataque fue descrito como el peor ciberataque hasta la fecha hacía una infraestructura crítica de los Estados Unidos.

DarkSide extorsionó con éxito alrededor de 75 Bitcoin (casi 5 millones de dólares) a Colonial Pipeline.

Los funcionarios estadounidenses han investigado si el ataque fue puramente criminal o si tuvo lugar con la participación del gobierno ruso u otro patrocinador estatal.

Tras el ataque, DarkSide publicó un comunicado afirmando que “Somos apolíticos, no participamos en geopolítica.. Nuestro objetivo es ganar dinero y no crear problemas para la sociedad”.

En mayo de 2021, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad emitieron una alerta conjunta instando a los propietarios y operadores de infraestructura crítica a tomar ciertas medidas para reducir su vulnerabilidad al ransomware DarkSide y al ransomware en general.

Ryuk

Ryuk es un tipo de ransomware que normalmente se dirige a organizaciones muy grandes. El grupo que opera Ryuk exige costosos rescates a sus víctimas. Ryuk utiliza los algoritmos RSA-2048 y AES-256 para cifrar archivos.

Vas a encontrar mucha más información sobre Ryuk en nuestro artículo, ¿Cómo funciona el ransomware Ryuk?.

Syskey

Syskey es una utilidad que se incluyó con los sistemas operativos basados ​​en Windows NT para cifrar la base de datos de la cuenta de usuario, opcionalmente con una contraseña.

En ocasiones, la herramienta se ha utilizado eficazmente como ransomware durante las estafas de soporte técnico, en las que una persona que llama con acceso remoto a la computadora puede utilizar la herramienta para bloquear al usuario de su computadora con una contraseña que solo ellos conocen.

Syskey se eliminó de versiones posteriores de Windows 10 y Windows Server en 2017 debido a que era obsoleto y “conocido por ser utilizado por los piratas informáticos como parte de estafas de ransomware”.


¿Cómo funciona el ransomware Ryuk? (Capítulo 13)
Malware: Ransomware (Capítulo 10)


? Libro Hacking desde 0


? Herramientas Hacking ? Recursos Hacking


?‍♀️ Cursos Seguridad en Red ? Cursos RedesCursos Servicios en Nube ?‍♂️ Libros Seguridad y Criptografía ? Libros Redes

🔥 RELACIONADOS