Los ataques de ransomware no son una falsa amenaza, son reales y aumentan día a día. Las siguientes conclusiones sobre la historia del ransomware lo pueden ayudar a entender la evolución de sus estrategias de entrega y extorsión para estar mejor preparado en caso de ser víctima de un ataque.
El ransomware, bloqueador o criptomalware ha existido por mucho tiempo, de hecho por décadas. Originalmente, el ransomware era considerado una molestia y un engaño, pero en la actualidad es diferente y representa una amenaza sofisticada a los sistemas y usuarios.
Creemos que punto de inicio de la historia del ransomware es el troyano AIDS de 1989, también conocido como troyano PC Cyborg, desarrollado por el Dr. Joseph Popp, un biólogo evolucionista. Este ransomware de primera generación no era nada sofisticado y muy fácil de derrotar. Se entregaba a través de discos, la forma original de almacenamiento extraíble si usted es muy joven para conocer lo que era un disco. El ransomware fue usado en la conferencia WHO AIDS en Montreal, 20.000 copias en total. El malware de Popp escondía los archivos en la computadora de la víctima y cifraba los nombres de los archivos antes de exigir (o extorsionar) $189 por una herramienta de reparación.
Cerca de 30 años después, el ransomware es una amenaza mucho más maliciosa. Como una pieza de malware, sus capacidades y efectividad aumentaron exponencialmente, así como las maneras de ser infectado. Los cibecriminales adquirieron habilidad al lanzar sus campañas ransomware, usando plataformas como ransomware como servicio (RaaS) para generar millones de dólares por ataque.
2000-2005: Antivirus falsos y herramientas de eliminación de spyware
La mayor preocupación fueron los falsos antivirus, las herramientas de eliminación de spyware y las herramientas de mejora del rendimiento para las computadoras que se diseñaron para engañar a las víctimas para pagar por una reparación, parche o solución al problema publicitado. Esta forma simple de extorsión comenzó a aparecer en las pantallas de nuestras computadoras alrededor del 2005 en adelante, pero no bloqueaba ni cifraba datos como el malware actual. Sin embargo, para los cibercriminales el mercado de las aplicaciones engañosas probó el concepto y el modelo del negocio para el ransomware actual. Asimismo, los antivirus falsos tuvieron tanto éxito engañando a los usuarios para que paguen por una “reparación” a su “problema”, que en el 2008, una persona vinculada con la distribución de malware informó ganancias por $158.000 en una semana.
2006-2011: Primeros troyanos de cifrado
El troyano Achievus fue una de las primeras piezas del malware ransomware que utilizó el cifrado asimétrico RSA para cifrar los archivos en la carpeta Mis documentos del usuario, luego les solicitaba a las víctimas que compren productos de una farmacia en línea para recibir una clave de descifrado de 30 caracteres y obtener acceso a sus archivos. También en el mismo año, el correo electrónico se convirtió en el mecanismo de distribución del ransomware. Aquí, observamos el nacimiento del criptomalware que conocemos hoy.
Entre el año 2006 y 2011, el troyano de cifrado GPcode se propagó a través de un archivo adjunto de correo electrónico que decía ser una solicitud de empleo. El bloqueo del malware como Winlock o Ransomlock que simplemente bloqueaba la computadora hasta que se realizaba un pago, era muy popular en ese momento.
En el 2011 se vio el primer ataque de ransomware a gran escala de la historia, que parecía ser un aviso de activación de productos de Windows, donde los usuarios fueron engañados. Este ataque se vio favorecido en parte por la ubicuidad de los servicios de pagos nuevos y anónimos. Ya que facilitaban la tarea de los hackers y cibercriminales para recolectar el dinero de sus víctimas sin ser rastreados. Las redes ransomware como servicio (RaaS) aparecieron por primera vez en el mercado masivo del cibercrimen en el 2012. El nuevo y sofisticado kit de herramientas de Citadel les permitió a los posibles hackers y cibercriminales la posibilidad de crear, implementar y administrar campañas botnet y ransomware asociadas por debajo de los $50.
2013-2014: CryptoLocker
El 2013 fue un año sin precedentes para los cibercriminales y hackers, ya que lanzaron diferentes tipos de ransomware más nuevos y sofisticados. CryptoLocker era el paradigma en ese momento, y con Bitcoin observamos la primera utilización de la criptomoneda como medio de pago. CryptoLocker se propagaba con facilidad mediante descargas ocultas desde sitios web maliciosos o comprometidos, y también mediante archivos adjuntos de correo. En el correo electrónico, surgió una nueva táctica: el contenido de ingeniería social, diseñado para parecer cartas de reclamos de clientes, facturas o alertas de cuentas intentando que el destinatario abra los archivos adjuntos. En el mismo año, otros dispositivos y sistemas operativos comenzaron a infectarse también. El objetivo eran los smartphones que ejecutaban el sistema Android, y las computadoras Mac que utilizaban el sistema operativo OSX.
En 2014, los ransomware tales como CryptoDefence, CryptoWall, Koler (AndroidOS) y otros todos basados en CryptoLocker, comenzaron a infectar más víctimas. Sin embargo, en una llamada victoria para los buenos, un equipo internacional de expertos en seguridad y cumplimiento de la ley logró vencer al botnet que controlaba la mayor parte del tráfico de ransomware. El botnet Gameover ZeuS o GoZ, estaba compuesto por más de un millón de extremos infectados que contribuían significativamente al volumen global del tráfico de ransomware. Una vez fuera de línea, el tráfico disminuía, pero fue efímero.
2015: CryptoWall
CryptoWall rápidamente tomó el control ahora que CryptoLocker estaba fuera de juego. Y se convirtió rápidamente en la pieza más lucrativa y exitosa de ransomware. Un momento ilustre, fue cuando CryptoWall 2.0 fue eliminado, y los desarrolladores de malware lograron en solo 48 horas construir CryptoWall 3.0 desde un código base completamente nuevo. Hay que admitir que es impresionante, a pesar de sus intenciones nefastas. El 2015 también trajo consigo a CryptoWall 4.0, TorrentLocker, TeslaCrypt, Lowlevel04, LockerPin y muchos más. En respuesta a esta “nueva” amenaza, un agente especial del FBI dijo: “Tan bueno es el ransomware. Para ser honesto, nosotros generalmente aconsejamos a las personas que paguen por el rescate“. Desde entonces, el FBI ha dado consejos más apropiados.
2016: Ransom32 y Ransomware como servicio (RaaS)
Ransom32 era un nuevo y excitante ransomware con el que había que lidiar ya que utilizaba JavaScript, a diferencia de cualquier otro código base que se haya visto antes. Entregado por una red RaaS, Ransom32 tenía la habilidad de soportar no solo JavaScript, sino también HTML y CSS.
El 2016 presenció la vuelta de los macros de documentos de Office como un mecanismo de entrega para el malware. Durante los últimos quince años no se había visto y, de repente, los tipos de archivos de Microsoft Office como Word y Excel se usaban para eludir los productos y servicios de seguridad tradicionales. Locky es el mejor ejemplo de esto y fue propagado por la red Dridex a través de campañas de phising que enviaban documentos Word maliciosos a sus víctimas. Una vez abierto el documento adjunto y habilitado el macro, se descargaba el ransomware por el macro a la computadora de la víctima.
El ransomware Petya del 2016 fue el primer ransomware en cifrar el disco duro completo, evitando que el sistema pudiera arrancar ya que Sobrescribía el MBR (o registro de arranque principal) para agregar un efecto.
2017: Petya, WannaCry y los otros muchachos
Jaff, Cerber, Sage, Mamba, Petya, NotPetya y, posiblemente el más exitoso, WannaCry. El 2017 ha sido un año récord hasta ahora. WannaCry apareció en las noticias como el ransomware que derribó gran parte de la infraestructura crítica de las empresas de telecomunicaciones y del servicio de salud del Reino Unido. 2017 fue decisivo para la creación del ransomware. Tanto Petya como WannaCry fueron escritos para explotar las vulnerabilidades y explotaciones previamente conocidos que fueron filtrados de las organizaciones gubernamentales de los Estados Unidos, por el grupo de piratas informáticos Shadow Brokers. La explotación, llamada EternalBlue, aprovechaba una debilidad en el protocolo Microsoft SMB (CVE-2017-0144) para permitir que los atacantes ejecutaran código arbitrario en la computadora de la víctima.
Incluso Locky regreso en el 2017 con una campaña que envió 23 millones de correos electrónicos en apenas 24 horas.
Conclusión
Hasta el momento, el 2017 ha probado ser el año más exitoso en la historia del ransomware, y dada la cantidad de dinero que pueden ganar los cibercriminales autores del ransomware, es difícil que este problema encuentre una pronta solución. El ransomware continuará siendo un gran problema también en el futuro, y requerirá que las empresas de todos los tamaños elijan protecciones confiables y tomen medidas de prevención. ¡Mantenga sus datos a salvo y continúe informado!