El ransomware es un virus secuestrador que infecta los sistemas de información. Principalmente, Windows. En el caso de las estaciones de usuario, desde Windows XP hasta Windows 2010. Y en lo relativo a los servidores, desde Windows 2000 hasta Windows 2019. El ransomware bloquea el acceso o encripta la información y extorsiona solicitando un pago para proporcionar la llave de acceso o desencriptación.
Origen del ‘ransomware’
En 1989, el troyano AIDS se distribuyó vía disquete (llamado AIDS Information Introductory Diskette) a una lista de distribución. Fue creado por el doctor Joseph Popp. Reemplazaba el archivo autoexcec.bat y realizaba un conteo de las veces que se había reiniciado el equipo. Cuando llegaba a 90, ocultaba los directorios del disco y renombraba los archivos mediante criptografía simétrica (una sola llave para encriptar/desencriptar). Y mostraba la pantalla de extorsión solicitando pagar la cantidad de 189 dólares a PC Cyborg Corporation en un apartado postal de Panamá.
Tipos de ‘ransomware’
Existen diferentes tipos de ransomware:
Bloqueadores (lock screen ransomware).
Bloquean el acceso al sistema operativo o navegador de Internet. Se conocen como el virus del policía. Muestran una pantalla customizada para el país del usuario afectado e indican que el equipo (PC) o navegador de Internet fueron bloqueados por el cuerpo de seguridad local al haber detectado un software ilegal o por distribuir pornografía o pedofilia. Algunas versiones toman el control de la cámara y obtienen una foto del usuario, la cual es agregada en la pantalla de extorsión para generar mayor miedo sobre la víctima.
Encriptadores (encrypting ransomware o filecoders).
Encriptan o codifican los archivos del disco duro. Los ransomware filecoders renombran los archivos y extensiones de los mismos. Los archivos se mantienen en el disco duro, el problema que generan es que, al no conocer el nombre y sobre todo la extensión del archivo, hace muy complicado poder acceder a la información. Los encrypting ransomware generan una copia encriptada de los archivos. Una vez generada la copia, proceden a borrar los archivos originales.
Evolución del ‘ransomware’
El ransomware continúa en constante evolución e innovación para causar daño. En versiones de encrypting ransomware, a partir de 2015 se agregaron funcionalidades para causar más daño: la codificación de los nombres de los archivos, borrado seguro de los puntos de restauración del sistema y de las shadow copies, la encriptación de las unidades físicas y mapeadas en red. Hasta ese momento solo era afectado el equipo de la víctima que ejecutó el virus y las unidades de red que tuviese mapeadas (daño puntual).
En 2017, la NSA fue vulnerada por el grupo The Shadow Brokers. Les fueron robadas herramientas que utilizaban ellos para hackear los sistemas. Estas herramientas fueron divulgadas y aprovechadas por grupos delincuenciales, agregando a las funcionalidades la capacidad de infectar a más de un equipo mediante vulnerabilidades del protocolo SMB (daño masivo). A partir de 2020, los ataques de ransomware han evolucionado, se han vuelto personalizados y dirigidos hacia organizaciones, aprovechando las cadenas de confianza del software y de los fabricantes y proveedores del mismo.
Entre los ataques de ransomware destacan los siguientes:
CryptoWall.
Data de 2014 y sus principales novedades fueron:
- Uso de encriptación asimétrica con algoritmo RSA-2048.
- Uso de Gateway Web to TOR.
- Uso de direcciones bitcoin de pago únicas por víctima.
- Borrado seguro de los archivos originales.
- Encriptación de los nombres de los archivos infectados.
- Encriptación de las unidades extraíbles.
- Encriptación de carpetas de red mapeadas y de Dropbox.
WannaCry.
Desde 2017, sus principales novedades fueron:
- Infección masiva sin requerir interacción directa de la víctima.
- Explotación de la vulnerabilidad EternalBlue.
Fue el primer ransomware que utilizó la vulnerabilidad EternalBlue, lo que le permitió infecciones masivas con la sola interacción de un usuario. Eso causó muchísimo daño hacia una o varias organizaciones que compartían la red informática. La vulnerabilidad EternalBlue utiliza debilidades del protocolo SMB (TCP/UDP 136 al 139 y TCP/445).
Proceso de infección
Generalmente, el ransomware se distribuye mediante mensajes de correo electrónico con archivos adjuntos, por ejemplo ZIP, que contienen scripts o archivos ejecutables que se disfrazan como archivos legítimos (por ejemplo, PDF). Estos archivos maliciosos se hacen pasar por facturas, órdenes de compra, reclamaciones u otras comunicaciones comerciales.
Al presionar doble clic en el archivo malicioso, comienza la infección, instalándose en la carpeta AppData o en Temp. Una vez infectado un equipo, comenzará a escanear las unidades de almacenamiento de la computadora, para identificar los archivos de los datos que va a encriptar, y todas las letras de las unidades en la computadora, incluyendo unidades extraíbles, unidades mapeadas compartidas de red y las unidades mapeadas de Dropbox. Si hay una letra de unidad en el equipo, esta será escaneada para identificar archivos de datos para encriptarlos.
Cuando el ransomware identifica un archivo de datos soportado, lo encriptará y luego agregará la ruta completa del archivo en una llave de registro de Windows. Creará los archivos informativos de la extorsión en cada carpeta en que se encriptan archivos y en el escritorio de Windows. Algunos archivos contienen información acerca de lo que sucedió con los archivos de datos y un acceso directo del navegador web a la página del servicio de desencriptado asignada.
Cuando se ha concluido con el escaneo del equipo (PC) procede a borrar todas las Volume Shadow Copies del sistema. Esto lo hace debido a que se pueden utilizar para restaurar los archivos encriptados. Una vez que los datos de la computadora han sido encriptados, se desplegarán los archivos que fueron creados en el escritorio de Windows. Estos archivos informan sobre lo que le ha sucedido a los datos e instrucciones de cómo pagar el rescate. En la mayoría de los casos, una vez que el ransomware despliega estos archivos, se eliminan los archivos de la infección, puesto que ya no son necesarios.
