.

RANSOMWARE

¿Quién SECUESTRA NUESTRA INFORMACIón?

Hace unas semanas una noticia recorrió el mundo entero. Por primera vez, una nota relacionada con la ciberseguridad acaparó los titulares, debido a un código malicioso conocido como WannaCry. Se trataba de una familia de ransomware, el tipo de malware que secuestra la información y solicita un pago a las víctimas como rescate para recuperar el acceso a su información.

LIFESTYLE.png

Aunque el secuestro y la extorsión aplicados al ámbito digital mediante el software malicioso no es un tema nuevo, este ransonmware cuenta con una particularidad. Los desarrolladores de WannaCry agregaron la característica de gusano informático, es decir, tiene la facultad de propagarse de forma automática a través de la explotación de vulnerabilidades en el software, algo que podemos denominar ransomworm.

En el ámbito de la ciberseguridad, los códigos maliciosos son un tema recurrente, ya que la infección por algún tipo de malware se ha posicionado como uno de los primeros causantes de incidentes de seguridad, desde sus inicios con los virus, hasta llegar a amenazas sofisticadas y relativamente de mayor impacto como el ransomware.

Al mismo tiempo, los propósitos por los cuales se desarrollan y propagan los códigos maliciosos han cambiado. Desde modificar la funcionalidad de los sistemas y otorgar reconocimiento a sus creadores, hasta conseguir algún otro tipo de beneficio para sus desarrolladores (principalmente ganancias económicas) en un periodo cada vez menor. En esta publicación haremos un recuento de la evolución del ransomware, desde sus primeras versiones hasta casos más recientes.

EL INICIO DEL SECUESTO DE INFORMACIÓN EN LOS OCHENTA

Mucho se ha hablado de casos de ransomware en las últimas semanas, especialmente de las distintas campañas de propagación a nivel global. Aunque no se trata de una idea nueva, el secuestro de la información ha tomado relevancia debido al impacto que ha representado para los usuarios y empresas que se han visto afectadas negativamente.

El primer caso de ransomware se remota a 1989, cuando apareció el troyano PC Cyborg que reemplazaba un archivo del sistema operativo para luego ocultar los directorios y cifrar los nombres de todos los archivos de la unidad de almacenamiento, haciendo unitilisable el sistema. Posteriormente, solicitaba al usuario ‘renovar su licencia’ con un pago de 189 dólares a PC Cyborg Corporation.

En años siguientes se identificaron nuevas versiones de programas que buscaban extorsionar a los usuarios, que a diferencia del cifrado simétrico de PC Cyborg, utilizaban algoritmos de cifrado asimétrico con claves cada vez de mayor tamaño. Por ejemplo, en 2005 se conoció GPCoder y posteriormente sus variantes, que luego de cifrar archivos con extensiones específicas, solicitaba un pago entre 100 y 200 dólares como rescate de la información codificada.

ALGUNAS NUEVAS VARIANTES DEL RANSOMWARE

Luego de los primeros casos de ransomware, surgieron otros tipos de malware que funcionaban bajo el mismo principio de inaccesibilidad a la información, pero sin utilizar el cifrado, sino a partir de bloquear los sistemas. Estas variantes son las denominadas LockScreen o bloqueo de pantalla, que impide el acceso al sistema operativo.

Tal es el caso de Winlock, programa malicioso que se conoció en 2010 y que luego de infectar el equipo, lo bloqueaba desplegando un mensaje en la pantalla al tiempo que se demandaba un pago. Bajo este mismo principio, en 2012 se conoció a Reveton, el denominado ‘virus de la policía’, que bloqueaba el acceso al sistema del usuario afectado. El programa malicioso permitía mostrar un falso mensaje supuestamente del cuerpo policiaco donde se propagaba la amenaza: indicaba al usuario haber infringido una ley, por lo que debía pagar una ‘multa’ para restaurar el acceso normal.

La recuperación del acceso era relativamente sencilla. Sin embargo, se observa que nuevamente los códigos maliciosos están proliferando y generando ganancias económicas a sus desarrolladores. El crecimiento puede identificarse en tres variables: cantidad, complejidad y diversidad.

AUMENTO DE LA CANTIDAD Y COMPLEJIDAD DEL RANSOMWARE

En años recientes se volvieron a registrar nuevas oleadas de programas maliciosos que operaban bajo el principio del cifrado de la información del usuario para solicitar un pago como rescate de los archivos; también conocido como criptoransomware o FileCodes.

Para 2013 conocimos la relevancia de CryptoLocker debido a la cantidad de infecciones generadas en distintos países. Entre sus principales características se encuentra el cifrado a través de algoritmos de clave pública RSA de 2048 bit, enfocado únicamente de algunos tipos de extensiones de archivos, así como comunicaciones con el comando y control (C&C) del atacante a través de la red anónima Tor.

Casi de manera simultánea, hizo su aparición CryptoWall (una variante de Cryptolocker), que logró superar a su predecesor en el número de infecciones, en cierta medida, debido a los vectores de ataque empleados.

A principios de 2015 se identificaron nuevas campañas con la aparición de CTB-Locker, mismo que podía ser descargado al equipo de la víctima utilizando un TrojanDownloader; el término downloader se aplica para programas maliciosos cuyo propósito (generalmente único) es descargar y ejecutar software malicioso adicional e infectar un sistema. Entre sus distintitas versiones, una estaba enfocada a los usuarios hispanoparlantes, con mensajes escritos completamente en español.

Entre sus peculiaridades, el malware, también conocido como Citrioni, cifra los archivos en el disco, unidades extraíbles y unidades de red, utilizando un algoritmo de curva elíptica no reversible para el cifrado de la información. Para mantener el anonimato del creador, se conecta a través de Tor y solicita un rescate bitcoins.

Durante 2016, nuevas familias de ransomware comenzaron a propagarse por Latinoamérica, tal es el caso de Locky y TeslaCrypt, con importantes repercusiones en las empresas de la región. Durante 2017, el código malicioso de mayor renombre sin duda ha sido WannaCry, también conocido como WannaCryptor, que a diferencia de sus predecesores, se puede propagar automáticamente a través de la explotación de vulnerabilidades en el sistema operativo, lo que aumenta su potencial de infección.

LA DIVERSIDAD DEL RANSOMWARE TAMBIÉN VA EN AUMENTO

En los últimos años hemos visto el desarrollo de una mayor cantidad de ransomware, con mecanismos cada vez más complejos que hacen casi imposible la recuperación de la información. Por ello, la última alternativa que tienen las víctimas de ransomware es el pago del rescate al ciberciminal, sin embargo no se recomienda por dos razones principales. En primer lugar, al realizar el pago del rescate no se tiene garantía ni la certeza de recuperar la información y por otro lado, con el pago se financia una industria cibercriminal que con más recursos puede generar más amenazas informáticas.

Aunado al crecimiento en la cantidad y complejidad del ransomware, su diversidad también ha ido en aumento. Por ejemplo, en 2014 conocimos el primer caso de malware de la familia FileCoder para Android. SimpLocker apareció en escena; su función consistía en escanear la tarjeta de almacenamiento del dispositivo móvil en busca de archivos con extensiones específicas. Del mismo modo, aparecieron más códigos maliciosos como AndroidLocker.

Además, otras plataformas se han convertido en objetivo de los atacantes. Durante 2015 aparecieron los primeros casos de ransomware diseñado especialmente para sistemas operativos Linux, CTB-Locker o KillDisk. Durante 2016 apareció una muestra de ransomware conocida como KeRanger, un ransomware especialmente diseñado para OS X, así como otras familias enfocadas en macOS.

¿ESTAMOS ANTE UNA AMENAZA QUE LLEGÓ PARA QUEDARSE?

Es evidente que la proliferación del ransomware es una tendencia creciente y es muy probable que continúe en aumento. Los hechos y datos nos hacen pensar que estamos ante una amenaza que estará presente en los siguientes años, entre los principaes motivos, por las ganancias ilícitas que representa para sus creadores, así como la cantidad de dispositivos y usuarios que podrán verse afectados.

Una tendencia de los últimos meses es el crecimiento de ransomware que tiene como foco el denominado Internet de las Cosas (IoT). Distintos dispositivos como relojes o televisores inteligentes son susceptibles de ser afectados por software malicioso, en lo que se ha denominado Ransomware de las Cosas (RoT). Es probable que en el futuro próximo seamos testigos de ataques a dispositivos que se conectan a Internet, incluso se vislumbran nuevos conceptos, como el Jackware, es decir, el secuestro de automóviles que se conectan a Internet.

Ante este panorama, la ciberseguridad se convierte en un tema cada vez más relevante en distintos ámbitos y niveles, que involucra a la iniciativa privada, gobiernos, instituciones académicas y por supuesto, a los usuarios. Las buenas prácticas, la tecnología de protección y la educación en temas de seguridad resultan fundamentales en la actualidad, todo con un objetivo fundamental: disfrutar de la tecnología en un ambiente cada vez más seguro.


Miguel-01.png

Autor: Miguel Ángel Mendoza / Security Researcher / ESET Latinoamérica

w. www.eset-la.com/

t. (55) 3600 7943