Nota de The Hacker News - Traducida por Javier Ntaca*  

El mundo de la ciberseguridad evoluciona constantemente hacia nuevas formas de amenazas y vulnerabilidades. Pero el ransomware demuestra ser un animal diferente: el más destructivo, persistente, notoriamente difícil de prevenir y no muestra signos de desaceleración.

Ser víctima de un ataque de ransomware puede causar una pérdida significativa de datos, una violación de datos, un tiempo de inactividad operativo, una recuperación costosa, consecuencias legales y daños a la reputación.

En esta nota, hemos cubierto todo lo que necesitás saber sobre ransomware y cómo funciona.

¿Qué es el ransomware?

El ransomware es un programa malicioso que obtiene el control del dispositivo infectado, encripta los archivos y bloquea el acceso del usuario a los datos o al sistema hasta que se paga una suma de dinero o un rescate.

El plan de los delincuentes  incluye una nota de rescate con la cantidad e instrucciones sobre cómo pagarlo a cambio de la clave de descifrado, o comunicación directa con la víctima.

Si bien el ransomware afecta a empresas e instituciones de todos los tamaños y tipos, los atacantes a menudo se dirigen a los sectores de salud, educación, TI, gobierno y finanzas con bolsillos más grandes, causando daños que pueden llegar a los miles de millones de dólares.

Los ataques de ransomware comenzaron a repuntar en 2012 y, desde entonces, se han convertido en los ciberataques más generalizados del mundo.

Por ejemplo, en febrero de 2021, el ransomware HelloKitty golpeó al desarrollador de videojuegos polaco CD Projekt Red con una táctica bastante popular, es decir, los atacantes amenazaron a la compañía con filtrar el código fuente de los juegos, incluidos Cyberpunk 2077, Witcher 3, Gwent, y junto con archivos confidenciales en la empresa.

¡Y de hecho sucedió! Después de que CD Projekt anunciara que no pagarían el rescate, los atacantes crearon una subasta por los datos robados en un foro de piratas informáticos.

Y no es el único ejemplo. El ransomware siempre ha sido uno de los tipos más populares de muestras maliciosas que se cargan en el sandbox de análisis de malware ANY.RUN . Más de 124,00 sesiones interactivas con ransomware se analizaron en línea solo en 2020.

El primer ransomware

El primer ataque de ransomware conocido fue llevado a cabo en 1989 por un investigador del SIDA, Joseph Popp, que distribuyó 20.000 disquetes maliciosos a otros investigadores del síndrome en más de 90 países, afirmando que los discos contenían un programa de encuestas. Desde entonces, la amenaza del ransomware ha evolucionado mucho y ha adquirido más funciones.

Locker ransomware

En 2007, apareció el ransomware Locker, una nueva categoría de malware ransomware que no cifra archivos; en cambio, bloquea a la víctima fuera de su dispositivo, evitando que lo use.

Similar a esto, WinLock exigió un rescate de u$s 10 por el código de desbloqueo. Más tarde, Citadel, Lyposit y Reveton controlaron una pantalla con un mensaje de una falsa agencia de asuntos legales.

Por lo general, el ransomware bloquea la interfaz de usuario del dispositivo y luego pide al usuario que pague una tarifa para restaurar el acceso a ella.

Scareware

En años posteriores, los atacantes cambiaron su estrategia para capitalizar el miedo al difundir aplicaciones falsas y programas antivirus (AV). El ataque involucra un mensaje emergente que se muestra a las víctimas diciendo que sus computadoras han sido infectadas con virus. Atrae a las víctimas a un sitio web donde se les pide dinero para pagar el software que soluciona el problema. Todo parecía digno de confianza: logotipos, combinaciones de colores y otros materiales con derechos de autor.

A partir de ese momento, los delincuentes comprendieron que era mucho más fácil comprometer varios sitios web, centrarse en el phishing y automatizar todo el proceso.

Ransomware criptográfico

En 2013, CryptoLocker surgió como el primer malware criptográfico que generalmente llega como un archivo adjunto de correo electrónico. La botnet Gameover ZeuS fue responsable de estos ataques. CryptoLocker encriptaba archivos y, después de eso, requería un pago con Bitcoin para desbloquearlos.

Si el rescate no se recibía en 3 días, el precio de éste se duplicaba. CryptorBit, CryptoDefense, CryptoWall, WannaCry ampliaron las variaciones de los señuelos e incluso utilizaron debilidades del sistema para infectar computadoras.

El último paso en esa evolución es la llegada del ransomware “como servicio” , que apareció por primera vez en 2015 con el lanzamiento del kit de herramientas Tox. Éste brindó a los posibles ciberdelincuentes la opción de desarrollar herramientas de ransomware personalizadas con capacidades de evasión avanzadas.

Ransomware empresarial

Los atacantes de ransomware subieron de nivel y pasaron a la etapa empresarial. Prefirieron tratar con organizaciones grandes y asustarlas ante un posible brote.

Por ejemplo, un objetivo recibió un correo electrónico con una amenaza de ataque distribuido de denegación de servicio (DDoS). Para evitarlo, las víctimas debían pagar un rescate.

Un caso más es el rescate por compromiso de datos. Un delincuente amenaza a un objetivo con difundir públicamente la información comprometida a menos que se pague un rescate. La siguiente táctica es eficaz a nivel empresarial, ya que las empresas no quieren poner en juego su reputación.

Ahora está claro que el malware seguirá evolucionando. Y tal vez implemente ataques híbridos, incluidas otras familias de malware.

Ataque en detalles

Ya conocemos la historia y los tipos de ransomware, ahora es el momento de comprender cómo funciona.

  • Implementación: en el primer paso, los atacantes distribuyen componentes esenciales utilizados para infectar, cifrar o bloquear el sistema, descargados sin el conocimiento del usuario, usando phishing o después de explotar fallas específicas del sistema.
  • Instalación: cuando se descarga la carga útil, el siguiente paso es la infección. El malware suelta un pequeño archivo que a menudo es capaz de evadir la defensa. El ransomware se ejecuta e intenta ganar persistencia en el sistema infectado poniéndose a ejecutar automáticamente las claves de registro, permitiendo que atacantes remotos controlen el sistema.
  • Comando y control: el malware luego se conecta al servidor de comando y control (C2) de los atacantes para recibir instrucciones y, principalmente, para depositar la clave de cifrado privada asimétrica fuera del alcance de la víctima.
  • Destrucción: una vez que los archivos se cifran, el malware elimina las copias originales del sistema y la única forma de restaurarlas es descifrar los archivos codificados.
  • Extorsión: aquí vienen las notas de rescate. La víctima llega a saber que sus datos están comprometidos. El rango de pago varía según el tipo de objetivo. Para confundir y asustar a una víctima, los atacantes pueden eliminar varios archivos de la computadora. Sin embargo, si un usuario paga el rescate, no es una garantía de que la información se restaurará o que el ransomware se eliminará.
Secuestro de datos

Familias y operadores populares

Varios tipos de malware son famosos en el mundo del ransomware. Echemos un vistazo a ellos y hablemos de los operadores populares que se destacan en la historia del malware:

1) El ransomware GandCrab es uno de los lanzamientos de ransomware más notorios en los últimos años que acumuló casi u$s 2 mil millones en pagos de sus víctimas.

GandCrab fue descubierto en 2018 como parte de Ransomware-as-a-Service (RaaS) vendido a otros ciberdelincuentes.

Aunque GandCrab anunció su "retiro" en 2019, algunos investigadores afirman que regresó con una nueva cepa, llamada Sodinokibi, con una base de código similar. Sodinokibi se dirige a los sistemas Microsoft Windows y encripta todos los archivos excepto los de configuración.

2)  El ransomware Maze, que ocupó los titulares en los últimos dos años, es conocido por divulgar al público los datos robados si la víctima no paga para descifrarlos.

Fue el primer ataque de ransomware que combinó el encriptamiento de datos con el robo de información. Además, amenazaron con hacer públicos los datos si no se pagaba el rescate. Cuando comenzó el COVID-19, Maze anunció que dejarían los hospitales en paz. Pero más tarde, también rompieron esa promesa.

En 2020, Maze anunció que cerró sus operaciones. Pero es más probable que se hayan mudado a otro malware.

3) Netwalker utilizó el proceso de vaciado y la ofuscación de código para apuntar a las víctimas corporativas. Pero en enero de 2021, las agencias gubernamentales se unieron contra Netwalker y se hicieron cargo de los dominios en una web oscura utilizada por actores de malware.

4) Wannacry se propaga de forma autónoma de una computadora a otra utilizando EternalBlue, un exploit supuestamente desarrollado por la NSA y luego robado por piratas informáticos.

Es el tipo de ransomware más cargado en CUALQUIER servicio RUN en 2020. Llegó al malware superior con 1930 tareas. Podés investigarlos en la biblioteca pública de envíos  con la etiqueta "wannacry".

5) El malspam de Avaddon generalmente contiene el único emoticón para atraer a los usuarios a descargar el archivo adjunto.

6) Babuk es un nuevo malware dirigido a empresas en 2021. Babuk incluye un cifrado seguro que hace que sea imposible restaurar archivos de forma gratuita.

Objetivos de los ataques de ransomware

Hay varias razones por las que los atacantes eligen primero a qué tipo de organizaciones quieren apuntar con ransomware:

  • Fácil de evadir la defensa. Las universidades, las pequeñas empresas que tienen pequeños equipos de seguridad son un objetivo fácil. El intercambio de archivos y una extensa base de datos facilitan la penetración para los atacantes.
  • Posibilidad de pago rápido. Algunas organizaciones se ven obligadas a pagar un rescate rápidamente. Las agencias gubernamentales o las instalaciones médicas a menudo necesitan acceso inmediato a sus datos. Los bufetes de abogados y otras organizaciones con datos confidenciales suelen querer mantener un compromiso en secreto.

Y algunos ransomware se propagan automáticamente y cualquiera puede convertirse en su víctima.

El rápido crecimiento del ransomware

La principal razón por la que este tipo de malware ha tenido éxito son los ataques que traen resultados a los ciberdelincuentes. Los mercados permiten a los delincuentes comprar ransomware avanzado para ganar dinero.

Los autores de malware ofrecen varias formas de empaquetar el ransomware. El software malicioso cifra los sistemas de forma rápida y sigilosa. Tan pronto como se recibe el rescate, no es ningún desafío cubrir las pistas. Estos puntos conducen a un aumento significativo.

Ahora los delincuentes esperan obtener cientos o miles de dólares, ya que las empresas no quieren correr el riesgo de perder datos y cortes.

Métodos de distribución de ransomware

A continuación, se muestran varias formas de propagación del ransomware:

  • Correo electrónico (spam)
  • Técnica del abrevadero
  • Publicidad maliciosa
  • Kits de explotación
  • USB y medios extraíbles
  • Ransomware como servicio
  • Zero day exploits

Análisis de ransomware en ANY.RUN

Investiguemos juntos una muestra de ransomware .

Aquí hay una tarea con el malware Sodinokibi. Gracias a la interactividad ANY.RUN, podemos seguir la ruta del usuario:

En primer lugar, esperamos a que el programa malicioso termine de encriptar el archivo en el disco. La característica distintiva de Sodinokibi es el papel tapiz del escritorio con texto.

Secuestro de datos

Luego abrimos un archivo de texto en el escritorio. Sí, podemos interactuar con archivos y carpetas en la Máquina virtual durante la ejecución de la tarea.

Allí podemos ver instrucciones con la dirección URL. Podemos copiarlo y abrirlo en el navegador. En la nueva página, necesitamos ingresar la clave; cada clave es única para cada máquina infectada.

Ahí está el nuestro en el archivo de texto para que podamos ingresarlo. Y luego aparece una página con la suma del pago del rescate y una cuenta regresiva. Finalmente, abrimos el archivo con una imagen para el desencriptado de prueba y lo abrimos.

Medidas de prevención

2021 comenzó con arrestos de bandas de ransomware. El grupo de hackers Egregor fue eliminado por la policía francesa y ucraniana los primeros días de marzo.

Esa es una buena tendencia de que las fuerzas del orden siguen derrotando a los actores del malware. Sin embargo, debemos ser cautelosos e intentar detener los ataques también.

Para protegerse contra el ransomware, las empresas deben tener un plan elaborado contra el malware, incluida la copia de seguridad de los datos. Dado que el ransomware es muy difícil de detectar y combatir, se deben utilizar diferentes mecanismos de protección.

ANY.RUN es uno de ellos y ayuda a identificar el malware temprano y prevenir infecciones. Además de eso, la protección más importante es la formación del personal. Deben evitar enlaces o archivos sospechosos. Los empleados que saben que existe ransomware y cómo funciona pueden detectar tales ataques.

*Profesional informático

Imagen de portada de: Pete Linforth en Pixabay