Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ransomware Wiki
Ransomware Wiki
Aunque los ataques se han hecho populares desde mediados de la década del 2010, el
primer ataque conocido fue realizado a finales de la década de los 80, por el Dr.
Joseph Popp.3 Su uso creció internacionalmente en junio del 2013. La empresa McAfee
señaló en 2013 que solamente en el primer trimestre, había detectado más de 250 000
tipos de ransomware únicos.4
Métodos de propagación
Normalmente un ransomware se transmite como un troyano o como un gusano, infectando
el sistema operativo, por ejemplo, con un archivo descargado o explotando una
vulnerabilidad de software. En este punto, el ransomware se iniciará, cifrará los
archivos del usuario con una determinada clave, que solo el creador del ransomware
conoce, y provocará al usuario que la reclame a cambio de un pago.
¿Cómo actúa?
El atacante camufla el código malicioso dentro de otro archivo o programa
apetecible para el usuario esté llamado a hacer un clic. Algunos ejemplos de estos
camuflajes serían:
Reveton
En 2012 se comenzó a distribuir un ransomware llamado Reveton. Estaba basado en el
troyano Citadel, el cual estaba a su vez basado en el troyano Zeus. Su
funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la
ley, preferentemente correspondiente al país donde reside la víctima. Por este
funcionamiento se lo comenzó a nombrar como trojan cop, o «policía troyano», debido
a que alegaba que el computador había sido utilizado para actividades ilícitas,
tales como descargar software pirata o pornografía infantil. El troyano muestra una
advertencia informando que el sistema fue bloqueado por infringir la ley y de ese
modo deberá pagar una fianza para poder liberarlo, mediante el pago a una cuenta
anónima como puede ser Ukash o Paysafecard.[cita requerida]
Para hacer creer a la víctima que su computador está siendo rastreado por la ley,
se muestra la dirección IP del computador en pantalla, además se puede mostrar
material de archivo y simular que la cámara web está filmando a la víctima.
A principios del año 2012 comenzó su expansión por varios países de Europa; según
el país, podría variar el logo referente a las Fuerzas de la Ley correspondientes.
Por ejemplo, en el Reino Unido, contenía el logo del Servicio de Policía
Metropolitana. Debido a estos sucesos, la Policía Metropolitana envió un comunicado
informando que bajo ningún concepto ellos bloquearían un computador ni siquiera
como parte de una investigación.
En mayo de 2012, Trend Micro descubrió las variaciones de este malware para los
Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo a América
del Norte. En agosto de 2012, se comenzó a utilizar el logo del FBI para reclamar
una fianza de 200 dólares a los propietarios de computadores infectados, a pagar
mediante una tarjeta de aMoneyPak. En febrero de 2013, un ciudadano ruso fue
arrestado en Dubái por autoridades españolas debido a su conexión con la red
criminal que había estado usando Reveton, al cual se sumaron otras diez personas
con cargos por lavado de dinero.
CryptoLocker
Artículo principal: CryptoLocker
En septiembre de 2013 hizo su reaparición el ransomware basado en el cifrado de
archivos también conocido como CryptoLocker, el cual genera un par de claves de
2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de
un tipo de extensión específica. El virus elimina la clave privada a través del
pago de un bitcoin o un bono prepago en efectivo dentro de los tres días tras la
infección. Debido al largo de la clave utilizada, se considera que es
extremadamente difícil reparar la infección de un sistema.
En caso de que el pago se retrase más allá de los tres días, el precio se
incrementa a 10 bitcoins, lo que equivalía, aproximadamente, a 2300 dólares, en
noviembre de 2013.
CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS, tal como fue
anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2
de junio de 2014.
CryptoLocker.F y TorrentLocker
En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos en
Australia, denominados CryptoWall y CryptoLocker. Las infecciones se propagaban a
través de una cuenta de correo australiana falsa, la cual enviaba un correo
electrónico notificando entregas fallidas de paquetes.6 De este modo evitaba los
filtros antispam y conseguía llegar a los destinatarios. Esta variante requería que
los usuarios ingresaran en una página web y, previa comprobación mediante un código
CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta
manera se evitó que procesos automáticos puedan escanear el malware en el correo o
en los enlaces insertados.6
TorrentLocker es otro tipo de infección con un defecto, ya que usaba el mismo flujo
de claves para cada uno de los computadores que infectaba, el cifrado pasó a ser
trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y
11 700 en Turquía.8
CryptoWall
CryptoWall es una variedad de ransomware que surgió a principios de 2014 bajo el
nombre de CryptoDefense dirigida a los sistemas operativos Microsoft Windows. Se
propaga a través del correo electrónico con suplantación de identidad, en el cual
se utiliza software de explotación como Fiesta o Magnitud para tomar el control del
sistema, cifrar archivos y así pedir el pago del rescate del computador. El rango
de precios se encuentra entre los 500 y 1000 dólares.
CryptoWall 3.0 ha sido reportado desde enero de 2015 como una infección que surge
donde hackers rusos se encuentran detrás de esta extorsión.
TeslaCrypt
TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave
maestra para el descifrado de los ficheros atacados es pública. Existe una
herramienta gratuita de la empresa ESET que permite realizar este trabajo.11
Mamba
Un grupo de investigadores de seguridad de Brasil, llamado Morphus Labs, acaba de
descubrir un nuevo ransomware de cifrado de disco completo (FDE - Full Disk
Encryption llamado Mamba. Mamba, como lo llamaron, utiliza una estrategia de
cifrado a nivel de disco en lugar de uno basado en archivos convencionales. Para
obtener la clave de descifrado, es necesario ponerse en contacto con alguien a
través de la dirección de correo electrónico proporcionada. Sin eso, el sistema no
arranca.
Se hizo una comparación con el virus Petya que también utiliza disco cifrado. Sin
embargo, Petya cifra solamente la tabla maestra de archivos (MFT) con lo que no
afectan a los datos en sí.
También sobrescribe el registro de inicio maestro (MBR) del disco del sistema que
contiene el gestor de arranque para el sistema operativo. Esto prohíbe
efectivamente al usuario de incluso cargar el sistema operativo sin ingresar el
código de descifrado.
WannaCry
Artículo principal: WannaCry
WanaCrypt0r o también conocido como WannaCry es un ransomware activo que apareció
el 12 de mayo de 2017 con origen en el arsenal estadounidense de malware Vault 7
revelado por Wikileaks pocas semanas antes, el código malicioso ataca una
vulnerabilidad descrita en el boletín MS17-010 en sistemas Windows que no estén
actualizados de una manera adecuada. Provocó el cifrado de datos en más de 75 mil
ordenadores por todo el mundo afectando, entre otros, a:
Mitigación
Al igual que ocurre con otras formas de malware, los programas de seguridad puede
que no detecten la carga útil (payload) de un programa ransomware hasta que el
cifrado de archivos está en proceso o ha concluido, especialmente si se distribuye
una nueva versión desconocida para el antivirus.14 Si un ataque se detecta de
manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar
el proceso de cifrado.1516
Ejemplos: