28 Nov 2016

La plaga de ransomware de 2016

Amenazas Seguridad

La criptografía y los rescates tienen profundas raíces en la historia de la humanidad. Aun así, solo en las pasadas décadas el mundo ha visto lo que puede suceder cuando alguien los combina. Empezó en 1989, cuando el Dr. Joseph L. Popp inició la pandemia que hoy en día conocemos como ransomware.

Orígenes

Conocido como el abuelo del modelo de extorsión basado en ordenador, Popp distribuyó su carga maliciosa en la conferencia sobre el SIDA de la Organización Mundial de la Salud. Los discos, etiquetados como “Información sobre el SIDA – Discos introductorios” llevaban una etiqueta aparte en la que se advertía de que el software podía dañar el ordenador.

Pero ¿quién se lee las instrucciones? Algunos de los 20.000 discos en los que estaba Pop se insertaron y, como resultado, los ordenadores de las víctimas se bloquearon y mostraban una nota de rescate (189 dólares a un apartado de correos de Panamá) que resultará familiar a los lectores de este blog.

El ransomware de hoy

Poco ha cambiado desde el concepto original de ransomware. Quizá la diferencia más notable sea que ahora, en lugar de recibir los pagos en un apartado de correos, los delincuentes pueden actuar mediante redes anónimas como TOR e I2P en conjunto con bitcoin para evitar a la policía. ¿Por qué este método perdura con el tiempo?

La monetización directa ayuda. Con una media de rescate de unos 300 dólares, las discusiones sobre campañas de ransomware de millones de dólares parecen descabelladas, pero el precio se incrementa poco a poco con el tiempo (y este modelo de extorsión ha demostrado tanto su efectividad como su poder).

El usuario medio terminará por enfrentarse a la difícil cuestión de si pagar el rescate o perder los archivos. Por desgracia, muchos eligen pagar, aunque nosotros lo que recomendamos es que se busquen otras alternativas posibles y que no paguen, como un descifrador en la web No More Ransom!

La cifra de nuevos tipos de ransomware detectados cada día puede parecer abrumadora, pero la cantidad es un mal menor en comparación con la calidad. Se codifica bien una cifra menor de familias de malware que llega a ser preocupante por la atención que se les da, pero las pocas familias que están preparadas para el gran público causan daños importantes (me refiero a vosotros, Locky y Cerber). Y este es motivo más que suficiente para mantener ocupados a los investigadores de seguridad.

Aunque una sola persona podría lanzar una campaña de ransomware, los ciberdelincuentes se especializan y se benefician del trabajo en equipo. Se ocupan del soporte técnico, ayudan a sus víctimas a navegar en el proceso de compra de bitcoins para pagar el rescate y, además, mejoran sus códigos maliciosos para engañar a los investigadores de seguridad y a la policía. ¡La extorsión lleva trabajo!

El ransomware ha prosperado en los últimos años como modelo de negocio, en parte por las ofertas de “ransomware como servicio”. Aunque para crear más tipos de malware solo se necesitan unos conocimientos técnicos limitados, crear desde cero un ransomware bien codificado es un reto. El truco es escribir un buen cifrado (si se escribe mal, los buenos podremos y desarrollaremos una herramienta de descifrado).

El camino más fácil para los aficionados es un modelo de negocio de referencia: ocuparse de la distribución y pagar una parte de sus ganancias a los desarrolladores originales. Este tipo de tratos, por desgracia, están cogiendo fuerza.

Tipos de ransomware

La evolución de diferentes tipos de ransomware (desde simples variedades que dependen de herramientas de terceros, como WinRAR o GPG a malware con código implementado de Microsoft Developer Network) demuestra la disposición de los ciberdelincuentes por subir sus apuestas.

Además, hoy en día es común encontrar ransomwares exclusivos capaces de borrar copias de seguridad, cifrar discos externos o unidades de red e incluso llegar a tus archivos en la nube. El nivel ha subido y, aunque sea el momento de los aficionados, tantas figuras clave nos obligan a trabajar hasta altas horas de la noche.

Tendencias

Algunas de las nuevas variantes de ransomware encontradas en Brasil demuestran que la amenaza continúa en alza, pero en lugar de innovar, se renuevan. ¿Por qué molestarse en crear un código de ransomware propio? Hasta un niño sin conocimientos especiales puede comprar kits de ransomware con todo lo necesario para empezar una campaña y elegir un tema para la misma. Si la marca es lo bastante interesante, recibirá la atención de los medios y así no solo ganarán dinero, sino infamia.

no-no-ransom-ig

Hemos visto muchos ransomwares de poca calidad en los titulares porque utilizaban los logotipos de programas de televisión populares, la foto del personaje de alguna película o incluso con bromas sobre políticos. Aun así, el otro lado de la moneda es la facilidad de detección. Ahora, muchos delincuentes optan por elegir un nombre para sus creaciones y solo dejan a las víctimas un e-mail de contacto y una dirección bitcoin para realizar los pagos.

Cuanto más avanzan los métodos de pago, más favorecen al bitcoin las familias más populares de ransomware para exigir los rescates. Aun así, no es inusual toparse con uno de los tipos que requieren métodos de pago mediante cupones, como PaySafeCard. Las operaciones regionales y a mano suelen usar un método de pago local. Pero hacer esto significa renunciar a algo del anonimato que da camuflarse con el resto de ransomwares que se generan a diario.

Trabajar duro y mirar al futuro

Poco a poco estamos cambiando de un paradigma de reparación de ransomware a uno de inteligencia ransomware, pero todavía nos queda un largo camino. Solo mediante pruebas y estadísticas concretas sobre el problema podremos calibrar nuestras soluciones de forma apropiada. Por desgracia, no todos los afectados por ransomware denuncian el incidente y los que lo hacen, lo denuncian a instituciones diferentes, dificultando así la recopilación completa de información.

El trabajo conjunto de las fuerzas del orden con las compañías de seguridad informática para acabar con el negocio de la ciberdelincuencia mediante conexiones de ransomware ha demostrado ser efectivo. Por ejemplo, la iniciativa No More Ransom nació por el deseo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagar a los delincuentes.

Al haber más partes dando apoyo al proyecto, nuestras posibilidades de proveer un cuadro indispensable para afrontar este tipo de incidentes mejoran a diario. Cada parte solo tiene una visión parcial del ecosistema de ransomware y trabajar juntos solo nos llevará al éxito.

Por lo que respecta a los usuarios (las víctimas potenciales), saber es poder. Hemos preparado una guía para evitar el ransomware cuya lectura recomendamos a todos los que navegan por Internet (en pocas palabras, a todos).