El ransomware se fortalece como mercado ilegal debido a las innovaciones del cibercrimen




por Víctor Ruiz, fundador de SILIKN

El ransomware tuvo un comienzo lento, pero cobró un impulso en 1995, cuando dos criptógrafos, Adam L. Young y Moti Yung, acuñaron el término “extorsión criptoviral”, un concepto en el que el atacante utiliza una clave de cifrado pública y privada. Coloca la clave pública en el criptovirus, mientras mantiene la clave de descifrado privada. El malware genera una clave simétrica aleatoria, que se utiliza para cifrar los datos de la víctima. Entonces, esa clave se cifra con la clave pública. Después de eso, pone a cero la clave simétrica y el texto sin formato y luego coloca una nota de rescate que contiene el texto cifrado asimétrico y un medio para contactar al atacante.

Young y Yung pensaron que los usuarios de dinero electrónico podrían ser extorsionados a través de este proceso y, aunque el dinero electrónico no existía en ese momento, presentaron su idea en la conferencia de Seguridad y Privacidad de IEEE de 1996 en Oakland, California.

Sin embargo, poco después de que terminó la conferencia, el método fue archivado. Los ataques de ransomware solo comenzaron a convertirse en una amenaza en 2005 con PGPCoder o GPCode, un virus que encripta archivos que tienen ciertas extensiones como .doc, .html, .jpg, .xls, .rar y .zip y que además crea un archivo “! _READ_ME _ !. txt” en cada carpeta que presenta instrucciones sobre cómo se pueden recuperar sus datos. Con este virus se les pidió a las víctimas que pagaran entre $100 y $200 dólares a una cuenta de e-gold o Liberty Reserve. Además de GPCode, otros troyanos como Krotten, Cryzip, TROJ.RANSOM.A, MayArchive y Archiveus comenzaron a usar un cifrado RSA más refinado.

Para 2010, los ciberdelincuentes sabían bien cómo ganar dinero con el ransomware. Un troyano llamado WinLock, construido en Rusia, reportó a sus creadores $16 millones de dólares. WinLock no usó cifrado en absoluto; en cambio, restringió el acceso de la víctima al sistema al mostrar imágenes pornográficas. A aquellos que querían usar sus máquinas nuevamente se les dijo que enviaran un SMS a un número premium, que cuesta alrededor de $10 dólares y muchas víctimas avergonzadas decidieron pagar. La policía rusa finalmente arrestó a la pandilla en Moscú.

Además de los SMS premium, las llamadas telefónicas también se utilizaron para pagar el rescate. En 2011, un troyano imitó el aviso de activación de producto de Windows. Les dijo a los usuarios que tenían que reactivar su sistema operativo porque habían sido víctimas de un fraude. Esto significaba que tenían que llamar a un número internacional y proporcionar un código de seis dígitos. Se suponía que estas llamadas eran gratuitas, pero se enrutaron a través de un operador que cobraba tarifas altas.

Las pandillas de ransomware querían esquemas más inteligentes para ganar dinero, por lo que siguieron diversificando sus estrategias. En 2012, la familia de malware Reveton apareció en los titulares, marcando la llegada del llamado “ransomware de aplicación de la ley”. La pantalla de la computadora infectada mostraba una página que incluiría los logotipos de la Interpol, el FBI o la policía local, y les decía a los usuarios que habían cometido un delito, como la descarga de archivos ilegales, por lo que este tipo de malware también se llama scareware. La víctima recibió instrucciones de pagar cientos o incluso algunos miles de dólares con una tarjeta prepagada.

En los primeros años de la década de 2010, el ransomware era rentable, pero no era muy común. Los cibercriminales tuvieron dificultades para obtener dinero de las víctimas sin utilizar los canales tradicionales. Esta industria subterránea floreció cuando Bitcoin surgió. En 2013, el mundo conoció al destructivo CryptoLocker, el malware que inició la revolución del ransomware.

CryptoLocker apuntó a computadoras con Windows, y la mayoría de los usuarios lo obtuvieron a través de un archivo zip adjunto a un correo electrónico que parecía provenir de una compañía legítima. Dentro de ese archivo zip había un archivo de doble extensión: parecía un PDF, pero en realidad era un archivo ejecutable. (El troyano también se ha extendido usando Gameover ZeuS Trojan y botnet).

Una vez que se ejecutó el archivo, llamó a los servidores de comando y control, que generaron un par de claves RSA de 2.048 bits. Mantuvo la clave privada, pero envió la pública a la computadora infectada y la usó para cifrar archivos que tienen ciertas extensiones. El troyano también fue capaz de mapear la red para buscar más archivos para codificar. Luego, el usuario recibió una pantalla roja que le indicaba que pagara el rescate dentro de las próximas 72 o 100 horas. La víctima podía elegir la moneda preferida: dólares estadounidenses, euros o la cantidad equivalente en Bitcoin.

CryptoLocker fue retirado en junio de 2014, y en agosto la compañía de seguridad Fox-IT puso sus manos en la base de datos de claves privadas, para que los usuarios pudieran descifrar sus archivos de forma gratuita.

El éxito de este ransomware inspiró a una multitud de imitadores. La cantidad de familias de ransomware explotó en 2014, y el sencillo modelo de monetización basado en Bitcoin ayudó. Pronto, otro malware, CryptoWall, ganó más de $18 millones, de acuerdo con estimaciones del FBI, y alcanzó una participación de mercado de casi el 60%. Jugadores más pequeños como TorrentLocker se hicieron un nombre al apuntar a países de Europa, Australia y Nueva Zelanda.

En 2014 y 2015, a medida que la penetración de teléfonos inteligentes aumentó por encima del 50%, las pandillas de ransomware vieron aún más oportunidades. El mercado de Android tenía cuatro jugadores principales en ese momento: Svpeng (el primero en surgir), Pletor, Small y Fusob, que tenía algo de ética de ladrones incorporada. Cada vez que Fusob infectaba un teléfono, lo primero que hacía era verificar el idioma del dispositivo. Si era ruso o algún otro idioma de Europa del Este, el malware no hacía nada, lo que sugiere que sus autores tenían su sede en la región y que no querían robar dinero de su gente. Si había un idioma diferente, Fusob mostraba una pantalla falsa que acusaba al usuario de haber actuado mal. Afirmó que se podría abrir un caso penal si no pagan una multa que oscilaba entre $100 y $200 dólares. La mayoría de las víctimas eran de Alemania, el Reino Unido y los Estados Unidos.

Para 2016, los atacantes apuntaban incluso a más plataformas. El ransomware KeRanger fue el primer ransomware en infectar Macs y Encoder hizo lo propio después con las computadoras con Linux. Ransom32 fue el primero escrito en JavaScript con el propósito de infectar máquinas que se ejecutaban en múltiples plataformas.

Decenas de nuevas familias de ransomware aparecieron, dirigidas a usuarios individuales y empresas. Un informe publicado ese año afirmaba que un negocio se veía afectado cada 40 segundos y un individuo cada 10 segundos. Aparecieron cepas virulentas como Chimera, Cerber, Locky, CryptXXX, CTB-Locker y TeslaCrypt (que terminaron teniendo una participación de mercado de casi el 50%), y el modelo de ransomware como servicio comenzó a hacerse popular.

Parecía que los malos estaban prosperando, mientras que los usuarios y las empresas pagaban montones de dinero. Algunas de las pandillas cibercriminales fueron eliminadas durante las operaciones transfronterizas, pero todavía parecía que tenían ventaja. Debía hacerse algo para ayudar a las empresas y usuarios a evitar pagar el rescate. Todo lo que se necesitó fue una breve reunión en La Haya.

Los investigadores de seguridad no pudieron contener la cantidad de ataques. Cuantos más casos cerraban, más aparecían. Resolver un incidente a la vez claramente no fue suficiente para desalentar a los cibercriminales.

En 2016, en el Centro Europeo de Delitos Cibernéticos de Europol se buscó que las compañías de seguridad unieran fuerzas con organismos policiales para construir una plataforma donde los usuarios pudieran encontrar todas las claves de descifrado de forma gratuita. Y así nació el proyecto NoMoreRansom.org.

El proyecto NoMoreRansom se lanzó oficialmente en julio de 2016. Cuatro años después, el proyecto contó con más de 100 socios: compañías de seguridad y agencias de aplicación de la ley de todo el mundo.

Sin embargo, poco después del lanzamiento de NoMoreRansom, las pandillas cibercriminales se reagruparon y comenzaron a innovar y crearon foros en donde las pandillas de ransomware intercambian “mejores prácticas”, desarrollan planes de juego y hablan de obtener grandes ganancias. Estos foros son altamente colaborativos. Incluso los competidores trabajan juntos para crear mejores esquemas.

En la actualidad, el mercado del cibercrimen es altamente especializado. Hay personas que saben cómo enviar spam, personas que recopilan direcciones de correo electrónico, hay desarrolladores, ingenieros de redes, personas que cobran. Cada persona recibe su parte cuando una operación de ransomware es exitosa.

En algún momento, cuando los cibercriminales notaron que menos víctimas pagaban el rescate, varios hilos en estos foros debatieron el problema. A algunos grupos se les ocurrió la idea de cambiar el funcionamiento del ransomware. En lugar de encriptar los archivos de una empresa, podrían robarlos y luego amenazar con publicarlos en línea si no se pagaba un rescate. Los hackers detrás de las cepas Maze y REvil / Sodinokibi han usado esta táctica.

Ahora las pandillas de ransomware apuntan cada vez más a infraestructuras críticas, municipios y sectores como la atención médica que son vitales para la sociedad. Es exactamente lo que hicieron los delincuentes detrás del ransomware SamSam. Atacaron la ciudad de Atlanta, Georgia y varios otros municipios, hospitales y universidades en busca de las víctimas que sufrirían más, por lo que era más probable que pagaran el rescate.

SamSam no es el único ejemplo. Los actores detrás del ransomware Ryuk de habla rusa, que apareció en la segunda mitad de 2018, también han afectado a grandes organizaciones, redes gubernamentales y municipios.

Los ciberdelincuentes están invitados a unirse a este tipo de operaciones como en el caso de GandCrab — que trabaja como plataforma de ransomware como servicio — que sigue un modelo de negocio afiliado y deben acordar dividir sus ganancias con el equipo central del proyecto, que obtiene entre 30% y 40%. GandCrab, a principios de 2019, tenía el 40% del mercado de ransomware, con 1,5 millones de víctimas en todo el mundo, tanto usuarios domésticos como organizaciones.

Para mayo de 2015, los ciberdelincuentes detrás de este proyecto anunciaron que ganaron suficiente dinero y querían retirarse. Se jactaban de ganar más de $2 mil millones en menos de un año y medio. Sin embargo, los investigadores vieron muchas similitudes entre GandCrab y una nueva variedad de ransomware llamada REvil o Sondinokibi, lo que sugiere que tal vez no todos los asociados con GandCrab se retiraron.

Ganar millones de dólares no es en todos los casos la idea que impulsa cada ataque. WannaCry, por ejemplo, que afectó a más de 230,000 computadoras en 150 países en mayo de 2017, fue probablemente el trabajo de un criminal presuntamente de Corea del Norte. El malware utilizó una herramienta NSA filtrada, un exploit de Windows llamado EternalBlue. Cuando se atacó una computadora, se le pidió dinero a la víctima: $300 dólares en Bitcoin en tres días o $600 dólares en siete días. Sin embargo, aquellos que orquestaron la operación no se hicieron ricos. Solo ganaron alrededor de $140,000 dólares lo que llevó a los analistas a decir dos cosas: que WannaCry estaba destinado a causar interrupciones y que podría haber sido impulsado políticamente.

WannaCry fue seguido en junio de 2017 por NotPetya, que también se basó en el exploit EternalBlue. Se dirigió principalmente a Ucrania y se atribuyó al grupo de piratería Sandworm, que forma parte de la organización de inteligencia militar rusa GRU.

Dado todo esto, las líneas entre los ciberdelincuentes y los actores de los estados nacionales se están volviendo borrosas. Todos aprenden nuevas técnicas y adoptan nuevas herramientas. Los ataques de ransomware se están volviendo más selectivos, sofisticados y costosos, incluso cuando la frecuencia general de los ataques sigue siendo constante.

De acuerdo con analistas, el futuro no parece prometedor, pues el ransomware continuará atacando. Por ello, la mejor estrategia de ciberseguridad que se puede aplicar es: la prevención. La ciberseguridad es un entorno que se encuentra en constante evolución, impulsada fundamentalmente por el avance tecnológico. Por tanto, la mejor estrategia se basa en la proactividad, generando así que usuarios y empresas se adelanten a las amenazas y cuenten con las medidas de seguridad necesarias para hacer frente a los riesgos del mundo digital antes incluso de que estas lleguen a suceder.