El teléfono móvil muestra que el virus ransomware está bajo control. ¿Qué significa que no infectará el teléfono móvil? Desde 2005, el ransomware se ha convertido en la ciberamenaza más frecuente. Según los datos, en los últimos 11 años, las filtraciones de datos relacionadas con infecciones de ransomware han aumentado de 7.694 a 6.013. Durante años, ha habido dos tipos principales de ransomware: ransomware basado en cifrado y ransomware basado en bloqueos. El criptoransomware normalmente cifra archivos y carpetas, discos duros, etc. El ransomware de bloqueo, por otro lado, bloquea el dispositivo del usuario y suele estar basado en Android. El ransomware de la nueva era combina técnicas de distribución avanzadas (por ejemplo, aprovisionamiento de infraestructura para distribuir ransomware de forma rápida y amplia) y técnicas de desarrollo avanzadas (por ejemplo, el uso de cifradores para garantizar que la ingeniería inversa sea extremadamente difícil). Además, los métodos de cifrado fuera de línea se están volviendo cada vez más populares, y el ransomware aprovecha características legítimas del sistema (como CryptoAPI de Microsoft) para eliminar la necesidad de comunicaciones de comando y control. Terrance DeJesus, del equipo de investigación e ingeniería de seguridad (SERT) de Solutionary, analiza la evolución y los aspectos más destacados del ransomware a lo largo de los años. Troyano SIDA El primer virus ransomware, el troyano SIDA, fue creado en 1989 por Joseph L. Popp, graduado de Harvard. Se distribuyeron 20.000 disquetes infectados entre los asistentes a la Conferencia Internacional sobre el SIDA de la Organización Internacional de la Salud. El arma principal del troyano era el cifrado simétrico, y las herramientas de descifrado recuperaban rápidamente los nombres de los archivos, pero también dio inicio a casi 30 años de ataques de ransomware. Archievus Casi 20 años (17 años) después de que apareciera el primer ransomware, ha surgido otro. La diferencia es que este ransomware es más difícil de eliminar y utiliza cifrado RSA por primera vez en la historia del ransomware. El troyano Archiveus cifra todo el contenido del directorio "Mis documentos" del sistema y requiere que los usuarios compren una contraseña en un sitio web específico para descifrar los archivos. Archiveus es también el primer ransomware que utiliza cifrado asimétrico. 2011 Troyano anónimo Cinco años después, los principales servicios de pago anónimo han facilitado a los atacantes el uso de ransomware para cobrar dinero de las víctimas sin revelar sus identidades. Ese mismo año se popularizaron productos relacionados con troyanos ransomware. Un troyano ransomware simula la notificación de activación de un producto Windows de un usuario, informándole que la instalación del sistema debe reactivarse debido a un fraude y lo dirige a una opción de activación en línea falsa que requiere que el usuario realice una llamada internacional. El malware afirma que la llamada es gratuita, pero en realidad la llamada se enruta a un operador falso y la llamada se pone en espera, lo que resulta en que el usuario tenga que pagar altos cargos por llamadas internacionales. Reveton Un gran troyano ransomware llamado Reveton está empezando a extenderse por Europa. El software se basa en el troyano Citadel, un ransomware que afirma que las computadoras han sido comprometidas y utilizadas para actividades ilegales, lo que requiere que los usuarios paguen una multa utilizando un servicio de adelanto en efectivo para desbloquear el sistema. En algunos casos, la pantalla del ordenador muestra imágenes grabadas por la cámara web del ordenador, dando al usuario la impresión de que se ha grabado una conducta ilegal. Poco después de este incidente, surgieron en grandes cantidades ransomware policiales como Urausy y Tohfy. Investigadores en Estados Unidos han descubierto una nueva variante de Reveton que afirma requerir el uso de una tarjeta MoneyPak para pagar una multa de 200 dólares al FBI. CryptoLocker Septiembre de 2013 fue un momento crucial en la historia del ransomware porque nació CryptoLocker. CryptoLocker es el primer malware criptográfico que se presenta en forma de un archivo adjunto de correo electrónico descargado de un sitio web comprometido o enviado a empresarios. La infección CryptoLocker se propagó rápidamente cuando la amenaza explotó la infraestructura existente de la botnet GameOver Zeus. La Operación Tovar en 2014 detuvo la distribución del troyano GameOver Zeus y CryptoLocker. CryptoLocker utiliza AES-256lai para cifrar archivos con una extensión específica y luego cifra la clave AES-256 bits utilizando una clave RSA de 2048 bits generada por el servidor de comando y control.
El servidor C2 está en la red Tor, lo que dificulta el descifrado porque los atacantes colocaron la clave pública RSA en su servidor C2. Los atacantes amenazaron con eliminar las claves privadas si no recibían el dinero en un plazo de tres días. CryptoDefense En 2014 comenzó a surgir CryptoDefense, un ransomware que aprovechaba Tor y Bitcoin para permanecer en el anonimato y utilizaba cifrado RSA de 2048 bits. CryptoDefense utiliza el cifrado CryptoAPI integrado de Windows, con claves privadas almacenadas en texto sin formato en la computadora infectada; la vulnerabilidad no se descubrió de inmediato en ese momento. Los creadores de CryptoDefense pronto lanzaron una versión renombrada de CryptoWall. A diferencia de CryptoDefense, CryptoWall no almacena claves de cifrado en una ubicación accesible para el usuario. CryptoWall se difundió rápidamente aprovechando la campaña de correo electrónico Cutwail, dirigida principalmente a Estados Unidos. CryptoWall también se difundió a través de kits de exploits y se descubrió que era la carga útil final descargada en la campaña Upatre. CryptoWall ha lanzado múltiples campañas efectivas, todas realizadas por el mismo atacante. CryptoWall demuestra avances en el desarrollo de malware agregando claves de registro adicionales y copiándose en la carpeta de inicio para mayor persistencia. En 2015, Cyber Threat Alliance anunció que las actividades de CryptoWall se extendían por todo el mundo y ascendían a 325 millones de dólares. Sypeng y Koler Sypeng es posiblemente el primer ransomware basado en Android que bloquea la pantalla del usuario y muestra un mensaje de advertencia sobre las sanciones del FBI. Sypeng se propaga a través de actualizaciones falsas de Adobe Flash en mensajes de texto y exige un pago de 200 dólares a MonkeyPak. El ransomware Koler es muy similar a Sypeng en el sentido de que también utiliza sanciones policiales falsas y exige el pago de un rescate a MoneyPak. Koler es considerado el primer Lockerworm porque contenía tecnología de autopropagación que enviaba un mensaje personalizado a la lista de contactos de cada persona, dirigiéndolos a una URL específica para descargar el ransomware nuevamente y luego bloquear su sistema. CTB-Locker y SimplLocker A diferencia de otras variantes del pasado, CTB-Locker se comunica directamente con el servidor C2 en Tor en lugar de utilizar múltiples capas de infraestructura. También fue la primera variante de ransomware que comenzó a eliminar copias de volúmenes ocultos de Windows. En 2016, CTB-Locker se actualizó para apuntar a sitios web. Se cree que SimplLocker, también descubierto en 2014, es el primer ransomware basado en cifrado dirigido a dispositivos móviles Android, simplemente cifrando archivos y carpetas en lugar de bloquear el teléfono del usuario. LockerPin En septiembre pasado, un agresivo ransomware para Android comenzó a extenderse por todo Estados Unidos. Los investigadores de seguridad de ESET han descubierto el primer malware que realmente restablece el PIN de un teléfono para bloquearlo permanentemente. Apodado LockerPin, modifica el PIN de la pantalla de bloqueo de un dispositivo infectado, haciendo que la víctima no pueda acceder a la pantalla. LockerPin luego requiere $500 para desbloquear el dispositivo. El ransomware como servicio (RaaS) comenzó a surgir en 2015. Estos servicios suelen incluir kits de herramientas de ransomware fáciles de usar que se pueden comprar en el mercado negro y que normalmente se venden por entre 1.000 y 3.000 dólares, y los compradores también deben compartir el 10% para 10% con el vendedor 20% de ganancia. Tox a menudo se considera el primer y más extendido conjunto de herramientas/ransomware RaaS. TeslaCrypt TeslaCrypt también apareció en 2015 y, dado que los desarrolladores han producido cuatro versiones, es probable que se convierta en una amenaza persistente. TeslaCrypt usa AES-256 para cifrar archivos y luego usa RSA-4096 para cifrar la clave privada AES. Los dominios C2 en Tor se utilizan para pagos y distribución.