Diciembre de 2024 tiene la dudosa distinción de ser al mismo tiempo el 35.º aniversario del primer ransomware y el 20.º aniversario del primer uso del ransomware criminal moderno. Desde finales de la década de 1980, el ransomware ha evolucionado y modernizado hasta convertirse en una importante empresa criminal, por lo que parece apropiado reflejar los cambios e innovaciones que hemos visto en el ransomware durante las últimas tres décadas.
El primer uso de ransomware se detectó en diciembre de 1989; Una persona enviaba físicamente disquetes que pretendían contener software para ayudar a juzgar si una persona estaba en riesgo de desarrollar SIDA, de ahí que el malware se llamara troyano SIDA. Una vez instalado, el software esperó a que la computadora se reiniciara 90 veces antes de proceder a ocultar directorios, cifrar nombres de archivos y mostrar una nota de rescate solicitando que se enviara un cheque de caja a un apartado postal en Panamá para obtener una licencia para restaurar archivos y directorios. . .
El responsable fue identificado pero declarado incompetente para ser juzgado. Al final, la dificultad de difundir el malware y cobrar el pago en un mundo anterior a Internet hizo que el intento fracasara. Sin embargo, la tecnología ha avanzado; Las computadoras se conectaron cada vez más y surgieron nuevas oportunidades para la distribución de ransomware.
Los investigadores reconocieron en 1996 el riesgo de un “criptovirus” que podría utilizar el cifrado para lanzar ataques basados en extorsión a las víctimas que exigen un pago para proporcionar una clave de descifrado. Al igual que las defensas necesarias para derrotar la amenaza: Software antivirus eficaz y copias de seguridad del sistema.
Líder técnico, Investigación de seguridad – EMEA en Cisco Talos.
cosechando las recompensas del ransomware
En diciembre de 2004, se reveló evidencia del primer uso de un ransomware criminal, GPCode. Este ataque estaba dirigido a usuarios de Rusia y se entregó como un archivo adjunto a un correo electrónico que pretendía ser una solicitud de empleo. Una vez abierto, el archivo adjunto descargó e instaló malware en la computadora de la víctima que escaneó el sistema de archivos y cifró archivos de tipos específicos. Las primeras muestras implementaron una rutina de cifrado personalizada que fue fácilmente derrotada, antes de que el atacante adoptara algoritmos de cifrado de clave pública seguros que eran mucho más difíciles de descifrar.
Obviamente, este ataque captó la imaginación de los delincuentes, y poco después se lanzaron una variedad de versiones diferentes de ransomware. Sin embargo, estos primeros ataques se vieron obstaculizados por la falta de medios fácilmente accesibles para cobrar el pago del rescate sin revelar la identidad del atacante. Proporcionar instrucciones para que los pagos se transfirieran a cuentas bancarias específicas dejó al atacante vulnerable a una investigación legal para “seguir el dinero”. Los atacantes se han vuelto cada vez más creativos y piden a las víctimas que llamen a números de teléfono de alta tarifa o incluso compren artículos en una farmacia en línea y proporcionen el recibo para recibir instrucciones de descifrado.
Las monedas virtuales y las plataformas de comercio de oro ofrecieron un medio para transferir pagos fuera de los sistemas bancarios regulados y fueron ampliamente adoptadas por los operadores de ransomware como un mecanismo sencillo para recibir pagos, manteniendo su anonimato. Sin embargo, estos servicios de pago finalmente resultaron vulnerables a la acción de las autoridades reguladoras para restringir su uso.
La aparición de criptomonedas, como Bitcoin, ha ofrecido una forma eficiente para que los delincuentes cobren rescates de forma anónima y al mismo tiempo resistan las interrupciones de las agencias reguladoras o de aplicación de la ley. Como resultado, los operadores de ransomware han adoptado con entusiasmo los pagos con criptomonedas, siendo el exitoso ransomware CryptoLocker de finales de 2013 uno de los primeros en adoptarlo.
Diversificar la cartera de operaciones de ransomware
Con la adopción de las criptomonedas como medio eficiente para recibir pagos, los operadores de ransomware podrían centrarse en expandir sus operaciones. El ecosistema de ransomware ha comenzado a profesionalizarse con proveedores especializados que ofrecen sus servicios para compartir algunas de las tareas involucradas en la ejecución de ataques.
A principios de la década de 2010, los operadores de ransomware tendían a adoptar sus medios preferidos para difundir malware, como enviar mensajes de spam, desfigurar sitios web o colaborar con operadores de botnets que podían instalar malware en una gran cantidad de sistemas afectados. Al desarrollar un ecosistema de socios, los creadores de ransomware pueden centrarse en desarrollar un mejor ransomware y dejar la distribución del malware a operadores con menos habilidades técnicas que pueden centrarse en técnicas de distribución e ingeniería social.
Los delincuentes han desarrollado portales sofisticados para que sus socios midan su éxito y accedan a nuevas funciones para facilitar sus ataques y cobrar pagos de rescate. Inicialmente, estos ataques adoptaron una distribución de malware al estilo del mercado masivo que intentaba infectar a tantos usuarios como fuera posible para maximizar los pagos de rescate independientemente del perfil de las víctimas.
En 2016 se detectó una nueva versión de ransomware, SamSam, que se distribuía según un modelo diferente. En lugar de priorizar la cantidad de infecciones, afectando a un gran número de usuarios por un rescate relativamente bajo, los distribuidores de SamSam recurrieron a instituciones específicas y exigieron altas cantidades de rescate. El grupo combinó técnicas de hacking con ransomware, con el objetivo de penetrar en los sistemas de las organizaciones. Luego, identificar e instalar ransomware en los sistemas informáticos centrales para maximizar la interrupción en toda la organización.
Esta innovación cambió el mercado del ransomware. Los operadores de ransomware consideraron que valía más la pena apuntar a instituciones, perturbando organizaciones enteras y cerrando sus operaciones, lo que les permitió exigir un rescate mucho mayor, que cifrar los dispositivos finales de las personas.
Rápidamente, los delincuentes priorizaron ciertos sectores industriales; La industria de la salud se ha convertido en un objetivo común. Al parecer, porque el ransomware afectó a los sistemas operativos centrales, interrumpió gravemente el funcionamiento del centro de salud, puso en peligro vidas y, en consecuencia, aumentó la presión sobre la alta dirección para que pagara el rescate con el fin de restablecer rápidamente las funciones.
Nació el ransomware moderno
En noviembre de 2019, los atacantes que entregaron el ransomware Maze utilizaron por primera vez la innovación de doble extorsión. En estos ataques, el atacante roba datos confidenciales de los sistemas antes de cifrarlos. De esta forma, el atacante puede utilizar dos palancas de presión sobre los líderes empresariales para que paguen el rescate; Eliminación del acceso a los datos y la amenaza de exposición pública de datos confidenciales con implicaciones regulatorias y para la reputación.
A lo largo de los años, han aparecido varios imitadores de ransomware. Hemos visto ransomware falso que simplemente muestra una nota de rescate sin molestarse en cifrar ningún dato; Esperando que las víctimas paguen pase lo que pase.
WannaCry era un malware autopropagante que se propagó globalmente en mayo de 2017. Aunque el malware inundó los datos, la pequeña cantidad de billeteras Bitcoin comunes a las que se les pidió pagar un rescate significó que el atacante tenía pocas oportunidades de saber qué víctimas pagaron el rescate. rescate y a quién se deben entregar las claves de descifrado.
El malware NotPetya de junio de 2017 afirmaba ser ransomware y se propagaba de forma autónoma a través de las redes. Si bien cifró archivos y mostró una nota de rescate, fue un ataque devastador. El identificador único en la nota era irrelevante para el proceso de cifrado, y el malware se eliminó, así como los datos críticos cifrados, haciéndolos irrecuperables incluso con la clave de descifrado correcta.
El ransomware no es sólo un delito financiero. Esto afecta a los afectados por la interrupción de los servicios esenciales. Las personas que no pueden acceder a datos vitales o al trabajo se sienten ansiosas y estresadas, mientras que los departamentos de TI que trabajan para resolver la situación sufren una presión adicional y corren el riesgo de agotarse. A nivel humano, inevitablemente algunas personas pierden datos irremplazables como fotografías de sus seres queridos o proyectos a los que han dedicado muchos meses o años de trabajo.
Clases para negocios e industria.
El panorama de TI en 2024 es muy diferente al de 1989 o 2004. La ingeniería de software y la gestión de parches mejoradas hacen que sea más difícil para el ransomware infectar sistemas a través de vulnerabilidades de navegadores web sin parches. Por el contrario, la cantidad de violaciones de contraseñas a lo largo de los años, que hacen que las contraseñas sean potencialmente reutilizables o fáciles de adivinar por los delincuentes, significa que cada vez más el usuario humano es el punto de entrada.
No deberíamos sentirnos impotentes ante el ransomware. La actividad policial ha arrestado y acusado a muchos operadores de ransomware. Otros que eludieron el arresto fueron sometidos a sanciones internacionales. Se confiscaron la infraestructura utilizada para coordinar ataques y billeteras de criptomonedas. La detección de antivirus también ha avanzado a lo largo de los años y, si bien algunos programas maliciosos pueden escapar a la detección, el software moderno de protección de terminales busca constantemente evidencia de programas desconocidos que intentan cifrar archivos sin permiso.
El talón de Aquiles del ransomware son las copias de seguridad. Los datos de los que se realiza una copia de seguridad y se almacenan sin conexión se pueden utilizar para recuperar archivos que de otro modo estarían dañados y perdidos, eliminando así cualquier necesidad de pagar el rescate para recuperar los archivos. El éxito del ransomware en los últimos 35 años es también la historia del fracaso de la adopción generalizada de dispositivos de respaldo para la recuperación de archivos.
De cara al futuro, es poco probable que veamos el fin del ransomware. Su rentabilidad para los delincuentes significa que es probable que siga atormentándonos durante muchos años más. Tampoco es probable que siga igual. Los delincuentes han demostrado ser increíblemente creativos a la hora de idear nuevas técnicas y métodos para mejorar su modelo de negocio y evadir la detección tanto de ellos mismos como de su malware.
Sin embargo, la industria de la ciberseguridad es igualmente innovadora y desarrolla constantemente nuevas herramientas y estrategias para combatir estas amenazas. Salvaguardando la información, adoptando fuertes medidas de seguridad y cooperando globalmente, podemos reducir los riesgos y construir un futuro digital más resiliente.
Hemos compilado una lista de los mejores servicios de respaldo en la nube.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si estás interesado en donar, descubre más aquí: