La escalada del ramsonware: del ayer al hoy y tendencias de futuro

Que durante los últimos meses se ha producido una escalada del ransomware más que llamativa es una realidad que la actualidad informativa se ha encargado de plasmar sobre la marcha; un problema que no cesa de evolucionar y que amenaza con tomar nuevas direcciones.

Un asunto sobre el que hemos decidido investigar para remontarnos al principio de los tiempos y analizar el panorama actual, así como las tendencias que están apareciendo en este ámbito y las posibles soluciones.

Los inicios

Así y a pesar de que este tipo de malware ha experimentado un incremento notable en el citado periodo de tiempo, parece ha estado presente desde finales de los años 80, principios de los 90, cuando ya pueden encontrarse códigos maliciosos que nos impiden acceder a nuestro sistema y que son capaces de destruir documentos.

Era el caso de, por ejemplo, de Casino, un virus que solía entrar en acción el 15 de abril y que se dedicaba a copiar la tabla de asignación de archivos en la memoria RAM y, seguidamente, eliminarla del disco duro. A partir de entonces, el usuario veía aparecer una pantalla (al más puro estilo de los actuales rescates) en la que se le brindaba la oportunidad de recuperar lo perdido siempre y cuando jugase a una especie de tragaperras. Ahora bien, no se pedía dinero, sino que dependía de la “suerte” del afectado.

ESET

PC Cyborg, aparecido en 1989 y que se distribuía a través de disquetes enviados por correo postal fue también de los primeros. Lo que hacía era cifrar los archivos de C: y solicitabar el pago a la PC Cyborg Corporation para desbloquear el sistema. Ya en 2005 surgió el gusano GPCode y sus variantes, que encriptaban los ficheros de un modo más sofisticado. Destacamos GpCode.AG con cifrado asimétrico.

Un año después fue Troyano Arhiveus el que se hizo con el protagonismo. Un malware que no cifraba los archivos de manera individual sino que los copiaba a una carpeta sin necesidad de cifrar los archivos, borrando los originales y creando una contraseña para poder acceder a este nuevo contenedor.

Por otra parte, los llamados virus de la policía se detectaron en marzo de 2011 en Alemania; un tipo de ransomware que afectaba a Windows y que debe su nombre a que, en el mayor porcentaje de las ocasiones, suplantaba la identidad de los cuerpos de seguridad del estado en el que actuaba. Un tipo de malware que sí solicitaba un pago e introducía las correspondientes instrucciones.

En España empezó a introducirse en verano, cuando la Guardia Civil y la Policía Nacional llevaron a cabo varios comunicados públicos advirtiendo de la situación. En nuestro país, los ciberdelincuentes también se valieron del nombre de la SGAE para propagar sus campañas.

Por supuesto, el virus de la policía llegó a todas las partes del globo, aunque, por ejemplo, en Estados Unidos lo hizo un poco más tarde: en agosto de 2012. Eso sí, se trataba de una nueva variante que incluía la grabación de la víctima a través de su cámara web. El precio de los rescates, curiosamente, también variaba según la zona en la que se operaba.

Posteriormente y ya en 2013, los atacantes empezaron a centrar sus ataques en las empresas. Un año en el que ransomware como Anti Child Porn y Filecoder adquirieron gran popularidad. Un año después fue Torrentlocker el que empezó a dar que hablar; una variante que, esta vez suplantaba la identidad de organismos o empresas nacionales o de prestigio y que también hizo de las suyas en España, consiguiendo infectar a miles de usuarios y adaptándose a los distintos ámbitos de actuación.

Panorama actual

Para empezar y con el objetivo de que te hagas una composición de lugar, hace unos meses, Kaspersky informó de que, durante el año pasado, el 58% de los PCs corporativos se había visto afectado por esta clase de malware que bloquea el ordenador de sus víctimas y solicita una recompensa para recuperar la normalidad. Todo bajo el falso argumento de que hemos visitado páginas de pornografía infantil y otras prácticas ilegales. Un auténtico engaño que parece estar superándose.

A punto de estrenar abril, el asunto dio otra vuelta de tuerca. Sí, porque fue cuando se descubrió un nuevo tipo de ransomware criptográfico llamado Petya que venía con una particularidad: que atacaba al disco de arranque cifrando la tabla maestra de archivos (MFT, Master File Table). Un tipo de malware destinado, principalmente a trabajadores de empresas y cuyo medio de transmisión principal son los correos electrónicos con enlaces de Dropbox.

A finales del mes pasado, además, firma estadounidense Fortinet dio a conocer cuáles son las amenazas de ransomware más populares de la red en el panorama actual. Una lista en cuya cúspide nos topamos con CryptoWall, Locky y Cerber, todas ellas explicadas en posts anteriores –con sus correspondientes soluciones-.

Poco después, la compañía especializada PhisMe volvió a sacar a relucir estos ataques afirmando que, desde finales de marzo, el 93% de todos los correos electrónicos de phishing contenían ransomware cefrado. Su análisis también puso de manifiesto que estos primeros crecieron hasta un 589% respecto del último trimestre de 2015, y que habían alcanzado los 6,3 millones.

Otro caso que nos toca de cerca tuvo lugar en nuestro país también hace relativamente poco, cuando CryptoLocker decidió iniciar una nueva campaña en España, nada más y nada menos, que enviando mails falsos de Correos. Un ataque que nos sirve para recordar que, aunque en esa situación concreta el problema afectó a dispositivos Windows; esta claSe de amenazas pueden afectar a todos los sistemas operativos. De hecho, durante los últimos meses se han encontrado incluso en GNU/Linux.

Por fortuna, no todo son malas noticias; de hecho, todavía no ha pasado un mes desde que los operadores de TeslaCript cerrasen, pidieran perdón y proporcionaran su clave de desbloqueo. Un caso que ya en su momento llamó poderosamente nuestra atención, pues resulta poco frecuente que los responsables de estas prácticas decidan dar marcha atrás y poner punto y final a sus actividades.

Sus responsables (cuyo ransomware era capaz también de cifrar archivos de videojuegos), así, utilizaron su página en la Deep Web para anunciar su determinación. A posteriori y después de que un analista de la firma de seguridad ESET contactase con ellos, dieron a conocer también la cifra para liberar a todos los equipos afectados. Desafortunadamente y no obstante la parte positiva de todo el asunto, este caso forma parte de una gran minoría.

Tendencias

Asimismo y al margen de lo comentado todo apunta a que esta escalada del ransomware no solo sigue en aumento, sino también al encarecimiento de los rescates solicitados (multimillonarios en algunas ocasiones) y al incremento del número de empresas que se verán afectadas.

Una tendencia que algunos de los últimos ataques de este tipo han venido evidenciando. Fue el caso, por ejemplo, del Centro Médico Presbiteriano de Hollywood que, después de que el ataque dejase inservible su sistema informático, recibió un mensaje en el que se le solicitaban hasta 40 bitcoins (más de 15 mil euros).

El hospital, finalmente, acabó cediendo, una decisión que no nos sorprende si tenemos en cuenta que las pérdidas de un solo día podría haber ascendido al millón de dólares. Un aspecto más que pone de manifiesto la importancia de los daños provocados. Su problema, por otra parte, no es único en su especie sino que se está convirtiendo una práctica habitual en los Estados Unidos.

La renovación de los métodos para obtener el dinero y la destinación de este a supuestas causas sociales también podrían convertirse en algo habitual. Unas tendencias de la que ya tuvimos noticias hace cinco meses, con el descubrimiento de un ransomware que ofrece una suerte de “atención al cliente” a sus víctimas , y que incluye mensajes con detalladas instrucciones sobre cómo llevar a cabo el abono sin dificultad, habitualmente en bitcoins –muchos usuarios ignoran cómo adquirirlos y transferirlos-.

Según el Business Insider, además, algunos de estos delincuentes se estarían planteando métodos alternativos de pago para hacerse con el “botín” mediante métodos más ágiles; e incluso a la creación de páginas de soporte técnico específicas. En definitiva, un auténtico recochineo.

Respecto a las causas supuestamente solidarias, nos estamos refiriendo, por ejemplo a CyptMix, un ransomware al más puro estilo Robin Hood que te robará el dinero, según dice, para dárselo a los pobres. Citamos tal cual su mensaje: “¡Cientos de niños recibirán regalos y ayuda médica! ¡Confiamos en que sea una persona amable y honesta! ¡Muchas gracias, le deseamos lo mejor! ¡Su nombre estará en la lista de donantes y pasará a la historia de la caridad!

Por otra parte, la empresa ESET lleva a cabo otra predicción que está empezando a atisbarse:que el uso de Android en numerosos dispositivos (que van más allá de los smartphones) estaría facilitando la entrada a relojes inteligentes, smart TVs y otros gadgets que cuentan con este sistema operativo. En todo caso, estos expertos auguran que resulta bastante probable que los primeros ataques de este tipo ni siquiera estén planificados.

Consideraciones finales, claves de su éxito y soluciones

Llegados a este punto, no podemos dejar de preguntarnos acerca de los motivos que nos han llevado a esta situación. De esta manera, la firma PhisMe plantea, por ejemplo, que el ransomware no solamente es cada vez más sencillo de enviar; sino que se trata de un método que ofrece un retorno fácil de la inversión frente a otros tipos de ataques que requieren de más trabajo para lograr unos beneficios monetarios sustanciales.

“Si nos fijamos en el precio del rescate, este raramente excede los 2 bitcoins, una cantidad relativamente baja para una pequeña o mediana empresa”, comentaba Brendan Griffin, hace unos meses. “Una cifra que resulta más fácil abonar en lugar de seguir luchando contra la estafa”.

Jack Danahy, cofundador de la compañía de seguridad Barkly atribuye las razones de su incremento a unas causas similares: que los delincuentes han encontrado una forma más rentable de tener beneficio e los ataques y que existe un conjunto creciente de herramientas de ransoware, kits y otros servicios que los hacen más fáciles de llevar a cabo y también más peligrosos.

Otro documento publicado por ESET incluye a estos factores la propagación efectiva y el aprovechamiento de las vulnerabilidades, la adaptación al entorno mediante el diseño de campañas a medida a la hora de atacar distintas regiones del mundo, el uso de la llamada ingeniería social (que genera una sensación de miedo entre los usuarios mediante la reiteración de mensajes de alerta), lo crítico de los datos secuestrados, etcétera.

Asimismo, la evolución del ransomware llevará aparejado el necesario desarrollo de nuevos sistemas de seguridad que sean capaces de detectarlo a tiempo con mayor eficacia, hacerle frente, etcétera; así como la concienciación y educación de los internautas y empleados en este campo.

El problema, apunta Danahy, “es que detener la evolución de esta clase de tecnologías es poco probable, lo que significa que vamos a tener que reducir lo atractivo de ese delito, reduciendo su éxito y rentabilidad mediante tres métodos: una recuperación inteligente, una evaluación de las conexiones y la mejora de la seguridad. Unas afirmaciones cuyos entresijos encontrarás en nuestro artículo El ransomware amenaza con convertirse en un problema multimillonario.

Mientras tanto y desde estas líneas tan solo podemos recordaros algunas de las claves básicas para minimizar los riesgos, como llevar a cabo copias de seguridad periódicas y guardarlas offline en un disco duro y similares, incrementar las precauciones, optar por contraseñas fuertes, actualizar el sistema operativo, y descargar aplicaciones de los sitios oficiales. Otras sugerencias son cambiar los puertos predeterminados y DNS, evitar los correos que puedan llevarnos a descargar programas desconocidos, optar por soluciones específicas, etcétera.

Por otra parte, la recomendación general de las autoridades en esta clase de situaciones es clara: jamás pagar por el rescate, principalmente porque el abono no solo no garantiza la restitución de los archivo su el acceso al sistema, sino también porque esto seguiría motivando la conducta criminal protagonista de nuestro artículo.

En Genbeta | Anti Ransom, detecta el secuestro de información de tu pc antes de que sea tarde

Ver todos los comentarios en https://www.genbeta.com

VER 3 Comentarios

Portada de Genbeta