¿Qué es el Ransomware? Ransomware es un tipo de malware que es capaz de secuestrar un ordenador para evitar que el acceso de su legítimo usuario a su información hasta que abone un “ransom”, es decir, “un rescate” y por lo general utilizando la moneda virtual Bitcoin.

Este tipo de extorsión digital no es nueva, de hecho sus primeros pasos se conocieron en 2005, pero los atacantes han mejorado sus técnicas con el desarrollo de criptoware (cryptware) ransom, que encripta los archivos en el ordenador atacado usando una private key que solo posee el hacker, en lugar de bloquear simplemente el ordenador como ocurría antes.

Este tipo de malware infecta los dispositivos a través de un email o una website maliciosos (malicious email or website) o bien directamente atacando el dispositivo si el hacker ya ha conseguido infectarlo de manera previa con una backdoor .

Desde su primera detección en 2005 y su difusión en Rusia y varios países del Este de Europa a lo largo de los años siguientes hasta 2009,  muchos de los “rescates” se abonaban a través de mensajes de SMS o tarjetas pre-pago. Pero el aumento del uso de los métodos de pago online, y especialmente del Bitcoin, ha contribuido a la proliferización del ransomware. De hecho, el pago a través Bitcoin se ha convertido en el método más solicitado para liberar los dispositivos “secuestrados” debido a que la imposibilidad para trazar las transacciones realizadas con esta moneda virtual dificulta la identificación del responsable del hackeo.

Algunas de las primeras versiones de ransomware que tuvieron lugar en Rusia conseguían que el ordenador secuestrado mostrara en la pantalla una imagen con contenido de adultos mientras que el hacker exigía el pago de un rescate para eliminarla. La víctima podía abonar el rescate mediante la llamada a un número premium o el envío de un mensaje de SMS.

Como hemos comentado, el ransomware no afecta únicamente a PCs u ordenadores, también ataca a dispositivos móviles. En 2015 un ransomware se ocultó disfrazado de aplicación de contenido para adultos. Este app atacó a varios usuarios de Android permitiendo a los hackers bloquear los smartphones y cambiar su número PIN ydemandando un rescate de 500 dólares para recuperar el acceso. Fue en el mismo año, 2015, cuando el FBI detectó y alertó acerca del incremento del uso de todo tipo de ransomware: empresas, agencias gubernamentales, instituciones académicas, individuos, etc. comenzaron a ser víctimas de ataques en los que se utilizaba ransomware.

El Ransomware llega a Europa y a EE.UU.

No les llevó mucho tiempo a los hackers comenzar a utilizar este tipo de malware en ataques a dispositivos en Europa y Estados Unidos. Y a la par que se desarrollaba en nuevos mercados también evolucionaban las técnicas empleadas: entre 2011 y 2012 subieron como la espuma el número de ataques perpetrados utilizando este sistema. De hecho, en el tercer trimestre de 2011 se detectaron 60.000 nuevos ransomware, cifra que llegó a 200.000 en el mismo período del 2012.

Uno de los ataques más conocidos tuvo lugar en ese mismo año, Reveton, que conseguía abrir pop-ups en los ordenadores de las víctimas. En estos pop-ups se “informaba” al usuario acerca de que el gobierno estadounidense había detectado que desde ese dispositivo se había participado en redes criminales implicadas en casos de abuso, y que por lo tanto su ordenador había sido bloqueado por el FBI o el departamento de Justicia. Para liberar el ordenador, el hacker que se hacía pasar por el “gobierno” exigía al usuario un pago en Bitcoin por valor de 500 dólares y que se efectuara en las siguientes 72 horas . El hacker también incluía una dirección de email para resolver posibles dudas: [email protected].

En agosto de 2013 se subió un escalón en cuanto a ataques ransomware se refiere con la llegada de CryptoLocker, creado por el hacker Slavik. Se trataba de un ransomware tipo troyano que se distribuía de varias maneras usando keys criptográficas públicas y privadas para bloquear y desbloquear los archivos de sus víctimas.

En un inicio, CryptoLocker fue difundido a través del troyano bancario Gameover Zeus. Los atacantes infectaban primero con este troyano el ordenador de la víctima para robar sus credenciales bancarias. Pero si esto no funcionaba, instalaban la backdoor de Zeus en el ordenador para extorsionar al propietario.  Una de las claves de GameOver Zeus  fue que no empleaba el protocolo HTTP para su comunicación, sino redes P2P.

Versiones posteriores de CryptoLocker se dispersaron a través de un falso email cuyo remitente se hacía pasar por UPS o FedEx. Las víctimas eran avisadas de que si no efectuaban el pago antes de cuatro días, perderían todos sus ficheros. Un pop-up insertado en el ordenador infectado mostraba un reloj que contaba los minutos que faltaban para la destrucción de los archivos.

Entre septiembre de 2013 y mayo de 2014, más de 500.000 dispositivos fueron infectados con CryptoLocker. El FBI estimó que los extorsionadores consiguieron una suma de alrededor de 27 millones de dólares de víctimas que pagaron el rescate.

A mediados de 2014 la empresa de seguridad FireEye fue capaz de desarrollar una herramienta, DecryptCryptoLocker, para liberar los ordenadores secuestrados después de lograr el acceso a una serie de crypto keys que habían sido alojadas en los servidores desde los que se había dirigido el ataque.  Para liberar sus archivos, las víctimas tenían que subir sus ficheros infectados a la web de FireEye y obtener una prívate key con la que desencriptarlos.

2017 comenzó con varios ataques a menor escala de ransomware cuyo objetivo fue el sector salud. Sin embargo, el panorama cambió completamente cuando WannaCry emergió convirtiéndose posiblemente en el ataque a mayor escala que se ha visto jamás. En el transcurso de un fin de semana el ransomware infectó más de 200.000 ordenadores en 150 países.

¿El antepasado del Ransomware?

Como nota curiosa, y aunque la primera vez que se detectó en un entorno online fue en 2005, existe una infección documentada de este tipo  que data de 1989. La infección se produjo cuando el biólogo Joseph L. Popp envió 20.000 disquetes con el nombre “AIDS Information – Introductory Diskettes” a los asistentes de la conferencia internacional sobre SIDA de la Organización Mundial de la Salud.

Después de 90 reboots, el troyano denominado PS Cyborg ocultó y encriptó los nombres de los archivos de los usuarios. Para recuperar el acceso a sus ficheros se exigió un pago de 189 dólares a la corporación PC Cyborg Corp. a través de un apartado postal en Panamá.