La plaga de ransomware de 2016

La criptografía y los rescates tienen profundas raíces en la historia de la humanidad. Aun así, solo en las pasadas décadas el mundo ha visto lo que puede suceder cuando alguien los combina. Empezó en 1989, cuando el Dr. Joseph L. Popp inició la pandemia que hoy en día conocemos como ransomware.

Conocido como el abuelo del modelo de extorsión basado en ordenador, Popp distribuyó su carga maliciosa en la conferencia sobre el SIDA de la Organización Mundial de la Salud. Los discos, etiquetados como “Información sobre el SIDA – Discos introductorios” llevaban una etiqueta aparte en la que se advertía de que el software podía dañar el ordenador.
Pero ¿quién se lee las instrucciones? Algunos de los 20.000 discos en los que estaba Pop se insertaron y, como resultado, los ordenadores de las víctimas se bloquearon y mostraban una nota de rescate (189 dólares a un apartado de correos de Panamá) que resultará familiar a los lectores de este blog.

Poco ha cambiado desde el concepto original de ransomware. Quizá la diferencia más notable sea que ahora, en lugar de recibir los pagos en un apartado de correos, los delincuentes pueden actuar mediante redes anónimas como TOR e I2P en conjunto con bitcoin para evitar a la policía. ¿Por qué este método perdura con el tiempo?
La monetización directa ayuda. Con una media de rescate de unos 300 dólares, las discusiones sobre campañas de ransomware de millones de dólares parecen descabelladas, pero el precio se incrementa poco a poco con el tiempo (y este modelo de extorsión ha demostrado tanto su efectividad como su poder).

La cifra de nuevos tipos de ransomware detectados cada día puede parecer abrumadora, pero la cantidad es un mal menor en comparación con la calidad. Se codifica bien una cifra menor de familias de malware que llega a ser preocupante por la atención que se les da, pero las pocas familias que están preparadas para el gran público causan daños importantes (me refiero a vosotros, Locky y Cerber). Y este es motivo más que suficiente para mantener ocupados a los investigadores de seguridad.
Aunque una sola persona podría lanzar una campaña de ransomware, los ciberdelincuentes se especializan y se benefician del trabajo en equipo. Se ocupan del soporte técnico, ayudan a sus víctimas a navegar en el proceso de compra de bitcoins para pagar el rescate y, además, mejoran sus códigos maliciosos para engañar a los investigadores de seguridad y a la policía. ¡La extorsión lleva trabajo!

La evolución de diferentes tipos de ransomware (desde simples variedades que dependen de herramientas de terceros, como WinRAR o GPG a malware con código implementado de Microsoft Developer Network) demuestra la disposición de los ciberdelincuentes por subir sus apuestas.
Además, hoy en día es común encontrar ransomwares exclusivos capaces de borrar copias de seguridad, cifrar discos externos o unidades de red e incluso llegar a tus archivos en la nube. El nivel ha subido y, aunque sea el momento de los aficionados, tantas figuras clave nos obligan a trabajar hasta altas horas de la noche.

Algunas de las nuevas variantes de ransomware encontradas en Brasil demuestran que la amenaza continúa en alza, pero en lugar de innovar, se renuevan. ¿Por qué molestarse en crear un código de ransomware propio? Hasta un niño sin conocimientos especiales puede comprar kits de ransomware con todo lo necesario para empezar una campaña y elegir un tema para la misma. Si la marca es lo bastante interesante, recibirá la atención de los medios y así no solo ganarán dinero, sino infamia.
Cuanto más avanzan los métodos de pago, más favorecen al bitcoin las familias más populares de ransomware para exigir los rescates. Aun así, no es inusual toparse con uno de los tipos que requieren métodos de pago mediante cupones, como PaySafeCard. Las operaciones regionales y a mano suelen usar un método de pago local. Pero hacer esto significa renunciar a algo del anonimato que da camuflarse con el resto de ransomwares que se generan a diario.

Poco a poco estamos cambiando de un paradigma de reparación de ransomware a uno de inteligencia ransomware, pero todavía nos queda un largo camino. Solo mediante pruebas y estadísticas concretas sobre el problema podremos calibrar nuestras soluciones de forma apropiada. Por desgracia, no todos los afectados por ransomware denuncian el incidente y los que lo hacen, lo denuncian a instituciones diferentes, dificultando así la recopilación completa de información.

El trabajo conjunto de las fuerzas del orden con las compañías de seguridad informática para acabar con el negocio de la ciberdelincuencia mediante conexiones de ransomware ha demostrado ser efectivo. Por ejemplo, la iniciativa No More Ransom nació por el deseo de ayudar a las víctimas de ransomware a recuperar sus datos cifrados sin tener que pagar a los delincuentes.