El ransomware ha sido una de las amenazas cibernéticas más prolíficas que enfrenta el mundo a lo largo de 2019, y es poco probable que deje de ser una amenaza en el corto plazo .
Organizaciones desde empresas y escuelas hasta administraciones de ciudades enteras han sido víctimas de ataques de malware de cifrado de red que ahora exigen cientos de miles de dólares en bitcoins u otras criptomonedas para la devolución segura de los archivos.
Si bien la policía recomienda que las víctimas no cedan ante las demandas de los ciberdelincuentes y paguen el rescate, muchos optan por pagar cientos de miles de dólares porque lo ven como el medio más rápido y fácil de restaurar su red . Eso significa que algunos de los grupos criminales que operan campañas de ransomware en 2019 están ganando millones de dólares.
Pero lo que hoy es uno de los principales ciber flagelos en el mundo comenzó hoy con orígenes mucho más humildes en diciembre de 1989 con una campaña de un hombre que finalmente influiría en algunos de los ataques cibernéticos más grandes del mundo treinta años después.
La primera instancia de lo que ahora conocemos como ransomware se llamó el troyano del SIDA debido a a quién se dirigía: delegados que habían asistido a la conferencia sobre el SIDA de la Organización Mundial de la Salud en Estocolmo en 1989.
A los asistentes se les enviaron disquetes que contenían código malicioso que se instaló en los sistemas MS-DOS y contó el número de veces que se arrancó la máquina. Cuando se arrancó la máquina por enésima vez, el troyano ocultó todos los directorios y cifró los nombres de todos los archivos en la unidad, por lo que no se puede usar.
En cambio, las víctimas vieron una nota que decía ser de ‘PC Cyborg Corporation’ que decía que su arrendamiento de software había expirado y que debían enviar $ 189 por correo a una dirección en Panamá para recuperar el acceso a su sistema.
Fue una demanda de pago de rescate para que la víctima recuperara el acceso a su computadora: eso lo convirtió en el primer ransomware.
Afortunadamente, el cifrado utilizado por el troyano era débil, por lo que los investigadores de seguridad pudieron lanzar una herramienta de descifrado gratuita, y así comenzaron una batalla que continúa hasta nuestros días , con ciberdelincuentes que desarrollan ransomware e investigadores que intentan realizar ingeniería inversa.
Pero después de esto, no fue por otros 20 años que el ransomware como lo conocemos ahora comenzó a surgir; y esos primeros ataques aún eran simples en comparación con el ransomware de hoy.
Una forma común de este tipo de ransomware era el ataque ‘Police Locker’ , que si se descargaba, a menudo desde sitios de descargas entre pares o sitios web que alojaban material pirata o para adultos, cambiaría el escritorio del usuario a una nota que decía ser de aplicación de la ley, que declaró que la máquina había sido bloqueada debido a la sospecha de actividad ilegal.
En realidad, no se utilizó cifrado en estos ataques y, en muchos casos, el casillero se pudo quitar reiniciando la computadora, pero para algunos, el factor miedo los empujó a pagar unos cientos de dólares.
Si bien los Casilleros de la Policía alcanzaron su punto máximo entre 2010 y 2012, no han desaparecido, pero fueron reemplazados por lo que reconocemos como ransomware ‘real’.
«2012 a 2014 fue una especie de Salvaje Oeste del ransomware, era una idea nueva y el público en general no sabía lo que era y no entendía lo que estaba pasando. Tenías todo, desde los casilleros de la pantalla hasta los con cifrado de archivos «, dice Michael Gillespie, investigador de ransomware en Emsisoft.
Fue en este punto que el ransomware se volvió hacia el cifrado de archivos, para realmente enroscar a las víctimas, aunque era raro que las demandas de rescate fueran más de unos pocos cientos de dólares ya que los objetivos todavía eran en su mayoría usuarios domésticos, y porque el se pagaron rescates en monedas estándar, no fue la operación más encubierta.
Pero el auge de Bitcoin ayudó a cambiar todo y pronto los delincuentes que distribuían ransomware exigían que sus rescates se pagaran en criptomoneda porque las transacciones son más difíciles de rastrear que las realizadas con moneda regular, lo que hace que los que están detrás de los ataques sean más difíciles de descubrir.
Para 2016, el ransomware como servicio se había vuelto común , y los creadores de familias de malware como Cerber alquilaron la capacidad de llevar a cabo ataques a cambio de cortar las ganancias. Resultó ser un modelo de negocio exitoso y, a finales de año, las variantes de ransomware figuraban entre las familias de malware más comunes .
Lenta pero segura, los ataques de ransomware estaban cambiando su enfoque, con muchas de las organizaciones criminales profesionales que se alejaban de atacar a los usuarios domésticos a favor de atacar a las empresas y organizaciones del sector público , encriptar redes enteras y obtener decenas de miles de dólares.
A pesar de esto, el ransomware permaneció algo fuera del radar fuera de los círculos de seguridad de la información, pero en mayo de 2017, eso cambió para siempre con la llegada del ransomware WannaCry .
Ese día, las personas de organizaciones de todo el mundo se encontraron con un mensaje que exigía un pago de rescate a cambio de la devolución segura de sus archivos. WannaCry se estaba extendiendo por todo el mundo con la ayuda de EternalBlue, una herramienta de piratería de la NSA que se había hecho pública meses antes.
El daño habría sido mucho mayor si los investigadores de seguridad no hubieran encontrado el interruptor de ataque para el ataque, que luego se culpó a Corea del Norte . Sin embargo, incluso si las organizaciones pagaran el rescate, no había ningún mecanismo para recuperar los archivos: el ataque parecía ser de naturaleza puramente destructiva.
Solo unas semanas después, sucedió algo similar cuando NotPetya, un ataque probablemente lanzado por la inteligencia militar rusa, también alcanzó objetivos en todo el mundo . Parecía un ransomware, pero actuaba como un limpiador destructivo.
Pero a pesar de la naturaleza de alto perfil de estos dos incidentes, ese no fue el final del ransomware ya que las organizaciones continuaron dejando sus redes abiertas al compromiso de los ciberatacantes que pronto encontrarían otra nueva forma de hacer que el ransomware sea aún más poderoso, y más lucrativo que antes, ya que los piratas informáticos se dieron cuenta de que podían propagar el malware con más que solo ataques de phishing .
«WannaCry fue el cambio de paradigma. Porque entonces las personas se dieron cuenta de que podían combinar el movimiento lateral con una carga útil fuerte como el ransomware», dice Max Heinemeyer, director de caza de amenazas en Darktrace.
Desde entonces, los ciberdelincuentes que empujan el ransomware se han vuelto más audaces y los ataques se han vuelto mucho más grandes. Ahora, cuando redes enteras se ven comprometidas por piratas informáticos , el ransomware se ha convertido en un medio para monetizar el ataque.
Al combinar los ataques contra los puertos con conexión a Internet, el uso de credenciales robadas, el movimiento lateral a través de la red y otras técnicas , los atacantes se abrirán paso a través de la red hasta que hayan comprometido todo lo posible, antes de finalmente liberar el ransomware y eliminar todo. a menudo incluye servidores y copias de seguridad .
Esto ha llevado a que el ransomware se convierta en un negocio extremadamente lucrativo, con atacantes que regularmente demandan sumas de seis cifras por la clave de descifrado , y a pesar de los números involucrados, 2019 ha visto a muchas organizaciones optar por pagar el rescate.
En muchos casos, es visto como el menor de los dos males, porque restaurar la red desde cero podría llevar semanas y no solo podría costar tanto, la organización perderá grandes cantidades de negocios todo el tiempo que la red esté inactiva. Entonces las víctimas pagan, demostrando a los atacantes que el ransomware funciona .
Debido a esto, y la forma en que los distribuidores de ransomware rara vez son llevados ante la justicia , el ransomware se ha vuelto más problemático que nunca y el problema continuará en 2020.
Pero al hacer una cosa simple, las organizaciones de todos los tamaños podrían contrarrestar la amenaza que representan los ataques de ransomware: asegurarse de que tienen copias de seguridad fuera de línea de sus sistemas y asegurarse de que esas copias de seguridad se prueben regularmente.
«Es la copia de seguridad de Schrödinger: el estado de una copia de seguridad no se conoce hasta que tenga que restaurarla: debe saber si le salvará si sucede algo», dijo Gillespie.
«A veces las personas no quieren pagar por TI en general, no quieren pagar por una red de seguridad de almacenamiento que nunca podrían usar, pero hay opciones y en el gran esquema de cosas es mejor para usted», agregó. .
Si las organizaciones protegen sus redes contra ataques y se aseguran de que haya copias de seguridad disponibles en el peor de los casos, no tienen que pagar el rescate, y si la gente no paga los rescates, los ciberdelincuentes dejarán de ver el ransomware como lucrativo.
Tal vez si estas lecciones se aprenden ahora, el ransomware no afectará a las empresas en los próximos 30 años, pero desafortunadamente, es probable que empeore antes de mejorar.
Fuente: zdnet.com
