El ransomware es como un monstruo con muchas cabezas y múltiples personalidades. A través de los años, ha crecido transformándose y pasando de ser una curiosidad hasta convertirse en una crisis mundial.
Existen casos emblemáticos que nos cuentan la historia del ransomware y su crecimiento.
Uno de los primeros ransomwares fue AIDS Trojan, el cual por una falla de diseño, era fácilmente descifrable.
Solo ocultaba los archivos y encriptaba sus nombres, pidiendo una cantidad de dinero por un programa que obtenía las claves desde el mismo sistema.
Este virus, después de infectar el equipo, lo bloqueaba y mostraba una pantalla con el logotipo de alguna agencia de seguridad (como el FBI), acusando a su víctima de actividades ilícitas y pidiéndole pagar una multa o fianza para liberar el equipo y evitar la acción legal.
En 2014 se encontraron nuevas variantes enfocadas a robar contraseñas.
Este ransomware genera claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos con una extensión específica.
El virus elimina el cifrado a través del pago de un bitcoin dentro de los tres días tras la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil reparar la infección de un sistema.
Si el pago se retrasa más allá de los tres días, el precio se incrementa a 10 bitcoins, lo que equivalía, aproximadamente, a USD$2300, en noviembre de 2013.
CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS.
(De Wikipedia) Las infecciones de CryptoLocker.F se propagaban a través de una cuenta de correo electrónico australiana falsa, la cual enviaba un mensaje notificando entregas fallidas de paquetes. De este modo evitaba los filtros antispam y conseguía llegar a los destinatarios.
Esta variante requería que los usuarios ingresaran en una página web y, previa comprobación mediante un código CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, así se evitó que procesos automáticos puedan escanear el malware en el correo o en los enlaces insertados.
TorrentLocker es otro tipo de infección con un defecto, ya que usaba las mismas claves para cada uno de los computadores que infectaba.
CryptoWall es una variedad de ransomware que surgió bajo el nombre de CryptoDefense.
Se propaga a través del correo electrónico con suplantación de identidad, en el cual se utiliza software de explotación como Fiesta o Magnitud para tomar el control del sistema, cifrar archivos y así pedir el pago del rescate del computador. El rango de precios se encuentra entre los 500 y 1000 dólares.
En marzo de 2014, José Vildoza, un programador argentino, desarrolló una herramienta para recuperar los archivos de las víctimas de manera gratuita. La recuperación de archivos fue posible gracias a una falla en el programa malicioso por el cual las claves de cifrado quedaban guardadas en el equipo afectado.
Cuando los autores se percataron del error, actualizaron el criptovirus nombrándolo CryptoWall, pasando luego por distintas actualizaciones hasta llegar a la versión actual 3.0.
TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave maestra para el descifrado de los ficheros atacados es pública.
Existe una herramienta gratuita de la empresa ESET que permite realizar este trabajo.
Esta amenaza de malware utiliza el cifrado a nivel de disco, el cual causa mucho más daño que los ataques basados en archivos individuales.
Los desarrolladores criminales han utilizado el DiskCryptor, una herramienta de código abierto, para cifrar la información.
Se hizo una comparación con el virus Petya que también utiliza cifrado de disco. Sin embargo, Petya cifra solamente la tabla maestra de archivos (MFT) con lo que no afectan a los datos en sí.
Mamba sobrescribe el registro de inicio maestro (MBR) del disco del sistema que contiene el gestor de arranque para el sistema operativo. Esto prohíbe efectivamente al usuario de cargar el sistema operativo sin ingresar el código de descifrado.
El código malicioso ataca una vulnerabilidad conocida en sistemas Windows que no estén actualizados de una manera adecuada. Provocó el cifrado de datos en más de 75 mil ordenadores por todo el mundo.
Los sistemas operativos más vulnerables ante el ransomware son Windows Vista, Windows 7, Windows Server 2012, Windows 10 y Windows Server 2016. Se estima que un 40% de las computadoras existentes son vulnerables a este virus.
Un ordenador infectado que se conecte a una red puede contagiar el ransomware a otros dispositivos conectados a la misma, pudiendo infectar a dispositivos móviles.
Desde el principio WanaCrypt0r comienza a cifrar los archivos de la víctima de una manera muy rápida.
Al parecer se ha comprobado que el origen de este ransomware es Corea del Norte.
Este malware infecta el MBR, encriptando las tablas de asignación de archivos la siguiente vez que el sistema arranca, bloqueándolo hasta que el rescate es pagado.
El autor del original publicó la clave de descifrado para que las víctimas recuperaran sus archivos.
Sin embargo, versiones modificadas de este virus son incapaces de desbloquear el sistema incluso cuando ha sido pagado el rescate, lo que ha llevado a pensar que en realidad su propósito no era obtener ganancias sino causar daño.
Se sabe que este virus fue utilizado como parte de la ciberguerra contra Ucrania, por lo que detrás de él pueden encontrarse agencias gubernamentales de países rivales.
Este ransomware era distribuido como una actualización (falsa) de Adobe Flash.
Actualmente se cree erradicado pues los sitios web donde se alojaba ya están fuera de línea.
Este malware usa un ataque de fuerza bruta para adivinar passwords débiles y acceder a los sistemas a través del Remote Desktop Protocol de Windows.
Ha estado detrás de múltiples ataques a instituciones de gobierno como el departamento de transporte de Colorado, y el gobierno de Atlanta.
HiddenTear es el nombre de una familia de ransomware, cuyo código fuente fue compartido vía GitHub, lo que permitió a muchos atacantes crear sus propias variantes de virus para infectar a sus victimas.
Debido a su alta disponibilidad, hay muchas infecciones de ransomware que utilizan el mismo código base.
Como el código original es desencriptable, todas las variantes creadas con el mismo código también lo son.
Este ransomware, como muchos otros, cifra los archivos en tres fases.
Si la infección es detenida antes de terminar, es posible desencriptar algunos archivos con herramientas disponibles en internet, y siempre y cuando se puedan encontrar algunos archivos temporales específicos en las carpetas de Windows.
Por eso es importante hacer un clon de las particiones afectadas y no solo aplicar antivirus.
Este virus afecta a dispositivos Android. Se instala a través de un downloader infectado, lo que le permite eludir los sistemas de detección.
Afortunadamente, no se instala a partir de aplicaciones de Google Play. Google trabaja para asegurarse de que las aplicaciones descargadas desde su tienda oficial sean seguras, pero la amenaza permanece.
En enero de 2018, se consolidó este «modelo de negocio» mediante el cual se cifran los datos y se solicitan rescates dependiendo de quién es la víctima y del tipo de información secuestrada.
Por esa razón, los importes solicitados pueden ir de USD$600 a más de USD$700,000 por víctima.
Las infecciones están asociadas al uso de programas troyanos comunes, usados para crackear aplicaciones como Office, Acrobat y Minecraft, entre muchos otros.
Las victimas de GandCrab versión 1, 4 y 5, que hayan guardado una «imagen» del sistema afectado, pueden descargar la herramienta gratuita de Bitdefender para volver a tener acceso a sus datos.
Todos ellos se ofrecen con la modalidad RaaS: Ransomware as a service (como servicio).
Es decir, los desarrolladores del malware les transfieren el ransomware a sus asociados, quienes se encargan de distribuirlo, y que obtienen una comisión por cada rescate que haya sido pagado por parte de las víctimas.
El ransomware Hermes se hizo conocido en octubre de 2017, cuando se utilizó como parte del ciberataque dirigido contra el Far Eastern International Bank (FEIB) de Taiwán.
En esa operación, atribuida al Lazarus Group (de Corea del Norte), se robaron 60 millones de dólares en un ataque al SWIFT, aunque luego fueron recuperados.
Cuando alguien envía un video, una encuesta o un juego en Facebook, hacer clic en él nos pone completamente en manos de los ciberdelincuentes.
Al instalar extensiones de origen desconocido, cedemos el control de nuestra información y comprometemos la seguridad de nuestros equipos, que estarán a merced de los delincuentes.
Este tipo de virus utiliza el procesador de los dispositivos infectados (teléfonos y ordenadores) para hacer minería de cripto monedas.
El problema viene porque además de ser una actividad no autorizada, utiliza nuestros procesadores de una manera intensiva, al grado de poder destruirlos.
Al igual que con otros tipos de infección, una computadora con este tipo de virus es un riesgo que no debemos ignorar.
Hay noticias de casos en los que las bases de datos y otra información robada por los programadores del ransomware se encuentran a la venta en la Dark Web, lo que además de comprometer su reputación, pone a las empresas en problemas legales graves.
El ransomware es una seria amenaza pero también un lucrativo negocio para personas y empresas sin escrúpulos que posan como si fueran profesionales de la informática prometiendo servicios de desencriptado por un precio alto.
Tal es el caso de una firma rusa llamada Dr. Shifro, cuyo modelo de negocio tiene la fachada de ser un consultor profesional, pero que en realidad negocia el pago de una gran factura con la víctima y un descuento con los criminales.
Desafortunadamente en México también existen este tipo de empresas, que incluso se anuncian en buscadores como Google.
Puede volver al índice de Ransomware.
Contamos con un Servicio de asesoría para enfrentar el daño por ransomware (con costo).
Haga clic aquí si desea mayor información.
Eje Central Lázaro Cárdenas 13
Despacho 606
Col. Centro CDMX
(55) 4522-9785
(55) 5512-3864
(55) 5867-6649
(55) 5867-5169
Eje Central Lázaro Cárdenas esquina con Av. Independencia, entre metro Bellas Artes y San Juan de Letrán, una calle antes de llegar a la Torre Latinoamericana.
Horario L-V 10-6 – Sábado 11 a 3