HISTORIA Y
EVOLUCIÓN DEL
RANSOMWARE
1989
PC CYBORG
Troyano que reemplazaba el archivo
AUTOEXEC.BAT, luego ocultaba los
directorios y cifraba los nombres de todos
los archivos de la unidad C, haciendo
inutilizable el sistema. Por último, le
solicitaba al usuario “renovar su licencia”
con un pago de 189 dólares a una casilla
de correo a nombre de PC Cyborg
Corporation.
2010
WINLOCK
Bloqueaba el equipo y desplegaba un
mensaje en la pantalla, donde solicitaba al
usuario enviar una cantidad de SMS
Premium para desbloquearlo.
2013
CRYPTOLOCKER
Y CRYPTOWALL
Ransomware criptográfico que se
caracterizó por utilizar cifrados
asimétricos con clave pública RSA de
2048 bits; cifrar únicamente extensiones
específicas de archivos de documentos,
fotos e información del usuario; utilizar
conexiones anónimas con el controlador
del atacante a través de TOR; y ser uno
de los primeros en solicitar el pago del
rescate en bitcoins.
2017
WANNACRYPTOR
Se volvió popular bajo el nombre de
WannaCry (en español “quieres llorar”),
cifra los archivos del equipo infectado
utilizando una combinación de los
algoritmos AES-128 y RSA-2048, lo cual
hace imposible su recuperación mediante
técnicas de análisis. Sin embargo, lo que
convirtió al ataque en algo realmente
escandaloso fue su capacidad de
propagarse por sí mismo, de manera
similar a un gusano, a través de las redes
de los equipos infectados, utilizando una
vulnerabilidad en el protocolo de archivos
compartidos de Windows.
2019
MAZE
Detectado por primera vez en mayo de
2019, Maze fue el primer grupo de
ransomware en implementar la
estrategia del doxing, creando un sitio en
el que publicaba los nombres de las
víctimas y divulgaba la información
robada de aquellas que no pagaban. Maze
fue utilizado en ataques dirigidos a
empresas y organismos gubernamentales
y tuvo una gran actividad durante 2019 y
también en 2020. Utilizó entre otros
vectores de ataque correos de
spearphishing con adjuntos maliciosos y
ataques de fuerza bruta al RDP. Una vez
que lograba acceso al sistema buscaba
escalar privilegios y moverse lateralmente
dentro de la red antes exfiltrar
información sensible y comenzar con el
cifrado de los archivos. Registró una larga
lista de víctimas hasta que dejó de operar
en octubre de 2020.
2021
DARKSIDE
En 2021 la escena del ransomware siguió
por el mismo camino que en 2020, con
varios RaaS operando en una escena cada
vez más saturada. Un incidente clave en
2021 fue el ataque del ransomware
DarkSide a Colonial Pipeline, la compañía
de oleoducto más importante de Estados
Unidos, que afectó el suministro de
combustible en gran parte del país al
interrumpir su funcionamiento durante
seis días. El ataque puso los focos sobre el
ransomware y el propio presidente, Joe
Biden, hizo referencia al incidente y
ordenó medidas, algo indeseado por la
mayoría de los grupos de ransomware
que quieren evitar llamar la atención de
las fuerzas de seguridad. Como
consecuencia, algunos foros donde se
publican estos grupos comenzaron a
prohibir actividades relacionadas con
ransomware y el propio grupo DarkSide
decidió dejar de operar debido a la
presión de las fuerzas de seguridad. Otros
grupos como REvil comenzaron a prohibir
a sus afiliados ataques a cualquier entidad
que trabaje en el sector gubernamental o
de la salud de un país o que sea una
institución educativa.
2005
GPCODER
Cifraba archivos con extensiones
específicas, cómo documentos e
información del usuario (xls, doc, txt, rtf,
zip, rar, dbf, htm, html, jpg, db, etc.). Luego
dejaba un archivo de texto en el escritorio
con las instrucciones al usuario para el
pago del rescate a cambio del programa y
la clave para descifrar los archivos.
FBI
2012
REVETON
También conocido como el “virus de la
policía”, que también bloqueaba el acceso
al equipo, pero esta vez desplegando una
pantalla con un falso mensaje de la policía
nacional, o incluso del FBI. En esta
pantalla le indicaba al usuario que el
equipo había sido bloqueado por
contener material ilegal, como
pornografía infantil, software pirata o
contenido con derechos de autor, por lo
que debía pagar una “multa” para
restaurar el acceso normal.
2015
CTB LOCKER
Con un comportamiento similar a
Cryptolocker, se propagaba a través de un
troyano que al ser ejecutado descargaba
el código malicioso que cifraba los
archivos del usuario. Asimismo, supo
manejar muy bien su credibilidad: ofrecía
al usuario la posibilidad de descifrar de
manera gratuita hasta cinco archivos
para demostrar que podían ser
recuperados.
2018
GANDCRAB
Una de las familias de ransomware más
activas a nivel global en 2018. Contaba
con una lista de más de 450 extensiones
diferentes de archivos para cifrar. En poco
tiempo tuvo cinco versiones en las que
fue realizando mejoras en la tecnología
de cifrado y añadiendo nuevas
funcionalidades. Aprovechó el modelo de
Ransomware-as-a-Service (Raas) para
distribuirse tanto de manera masiva
como en ataques dirigidos a
organizaciones de alto perfil. Para su
distribución utilizó distintos métodos,
como correos de phishing, cracks de
software pirata, ataques al RDP, entre
otros. Dejó de operar en mayo de 2019 y
está disponible una herramienta de
descifrado.
2020
RYUK Y REVIL/
SODINOKIBI
Ruyk y REvil fueron dos de las más de 20
familias de Ransomware-as-a-Service
responsables del crecimiento de la
actividad del ransomware en 2020, y
sobre todo del gran aumento de los
montos solicitados para el pago de los
rescates. En el caso de Ryuk, distintos
atacantes cuentan con acceso al
ransomware y han utilizado como
principales vectores de ataque el
protocolo RDP y correos de phishing,
siendo además distribuido por otros
códigos maliciosos, como Emotet,
Trickbot y BazarLoader. Sus ataques
afectaron a grandes compañías,
organismos gubernamentales e
instituciones educativas. En el caso de
REvil, también conocido como Sodinokibi,
este grupo atacó a grandes y pequeñas
empresas a nivel mundial durante 2020 y
en América Latina afectó a compañías de
telecomunicaciones, instituciones
bancarias y organismos gubernamentales
utilizando correos de phishing,
explotando vulnerabilidades y mediante
ataques al RDP. A diferencia de Ryuk,
REvil adoptó la estrategia del doxing de
Maze y cuenta con un sitio web en el que
publica la información de las víctimas que
no quieren pagar.
www.eset.com esetla @esetla