En mayo de 2016, los investigadores descubrieron un sitio de la Dark Web llamado The Hall of Ransom, al cual se puede tener acceso a través de la red Tor, y que asegura tener una línea de productos y servicios relacionados con el ransomware que se venden a precios elevados.
El sitio ofrecía al célebre Locky por $3,000 dólares, una variante que se calcula infectó 90,000 máquinas diariamente en febrero pasado. Además de vender variantes de ransomware, The Hall también anunció la disponibilidad de una solución que se describe como una unidad USB que supuestamente se vende por $1,200 dólares – un “antídoto” único y que no puede copiarse, el cual promete liberar los archivos que Locky ha encriptado en las máquinas infectadas que corren sobre Linux o Windows. El sitio también presenta lo que se le ha denominado un “ransomware de nueva generación” llamado Goliath que puede comprarse por $2,100 dólares. Se ha descubierto que Goliath tiene un código abierto que se deriva de Locky, y que se ofrece a los “novatos” que están considerando entrar al negocio del crimen cibernético.
Locky se suma a la creciente lista de variantes de ransomware que se han convertido en productos viables en los mercados subterráneos. Anteriormente, otras familias como Petya, Mischa, Cerber y ORX-Locker se han ofrecido en la modalidad de ransomware como servicio (RaaS). En este modelo de distribución, los desarrolladores de malware transfieren el ransomware a asociados que distribuyen el malware, y se le paga a los desarrolladores una comisión por cada rescate que se paga. El que el ransomware se haya convertido en un modelo de negocio lucrativo sólo significa una cosa: funciona.
Aunque el descubrimiento del sitio dedicado al ransomware llevo a creer a los investigadores y analistas que era un fraude diseñado para engañar a los scammers, las aseveraciones poco razonables y las declaraciones audaces del sitio eran una señal reveladora, sacar esta plataforma específica de la clandestinidad confirma el nivel de interés que los criminales tienen en el ransomware y explica su actual explosión.
La Sicología Detrás del Ransomware
Al dividirlo en etapas, la operación del ransomware es simple: encontrar una manera de infiltrarse a la máquina de una víctima, bloquear el sistema o los archivos críticos que se encuentran dentro de él, y forzar a la víctima para pagar el rescate. A través de los años, el ransomware se ha convertido en una amenaza electrónica muy efectiva que no sólo “aterroriza” a sus posibles víctimas con una pantalla bloqueada, sino que también conoce los puntos débiles de sus objetivos. Al igual que un estafador que estudia cuidadosamente a su víctima, el ransomware busca de manera consistente los temores de su víctima para lograr una estratagema de extorsión efectiva.
A finales de 2015, las Predicciones de Seguridad de Trend Micro para el siguiente año llamaron a 2016 el año de la extorsión en línea, diciendo que “En 2016, las amenazas en línea evolucionarán para depender más del dominio de la sicología detrás de cada estratagema que el dominio de los aspectos técnicos de la operación. Los atacantes seguirán utilizando el temor como el principal componente ya que ha demostrado ser efectivo en el pasado”.
Cuando se detectaron por primera vez y se categorizaron como scareware que bloquea las máquinas de los usuarios, las primeras variantes de ransomware aprovechaban el temor de la víctima de perder el acceso a la máquina infectada, obligándolos a pagar un rescate en lugar de encontrar una solución alternativa. Los Troyanos Policiacos (como Reveton) infundían temor entre sus víctimas al hacerse pasar por notificaciones legítimas por violación de las leyes federales para hacer que los usuarios pulsaran un enlace infectado. Esto preparaba el terreno para un malware más evolucionado y sofisticado que, el crypto-ransomware, que iba tras los datos de la víctima para secuestrarlos.
Y ya que el ransomware evoluciona y avanza constantemente en cuanto a sus características, las tácticas de distribución y las demandas de rescate, el temor ha permanecido como el mayor factor de su éxito. Conocer la psique de la víctima ha contribuido enormemente a la propagación y a la efectividad del ransomware.
Los criminales que utilizan el ransomware han duplicado sus esfuerzos para ampliar efectivamente su alcance. La ingeniería social sigue funcionando para beneficio de los secuestradores de datos, pero ahora en un ámbito mucho más amplio. En mayo de 2016, Perezhilton.com enfrentó una vez más un problema de seguridad cibernética después de que el sitio pasó de contener chismes de Hollywood a desplegar anuncios infectados que llevaron a sus cientos de miles de lectores a un gateway que descargaba el ransomware CryptXXX. En su reporte, el investigador de seguridad Nick Bilogorskiy dijo, “Después de explotar los navegadores, Angler normalmente baja el malware Bedep que descarga el ransomware CryptXXX e infecta la máquina de la víctima”. El método de distribución utilizado en este caso era más tradicional, pues dependía de un kit de explotación que abusaba de las vulnerabilidades. Pero el uso de un sitio popular comprometido tenía el potencial de afectar a miles de usuarios desprevenidos.
El mismo mes, millones de usuarios de Amazon fueron amenazados por una campaña de phishing que realizaba la descarga del ransomware Locky. El señuelo eran correos fraudulentos que se hacían pasar como mensajes legítimos del gigante del comercio electrónico, enviados por una dirección de correo de amazon.com con el asunto que decía, “Su Orden de Amazon.com se Ha Despachado (#code)” que podía engañar fácilmente a un usuario para que descargara un archivo adjunto que contenía el archivo cargado con malware.
Cuando finalizó mayo, esta misma confianza de los clientes se utilizó en beneficio de los secuestradores de datos cuando una nueva campaña de Torrenlocker utilizó el nombre de un conocido gigante de las telecomunicaciones nórdico, Telia, para propagar malware. Similar a la táctica utilizada para los usuarios de Amazon, los criminales crearon una táctica de ingeniería social para engañar a los usuarios con una factura falsa de la compañía de telecomunicaciones. Una vez que la abrían, el enlace infectado dirigía a las víctimas potenciales a una página web falsa que contenía un código Captcha el cual, al capturarse, iniciaba la descarga del ransomware.
Obligando a Pagar
La creación de tácticas más inteligentes para penetrar al sistema de una víctima no es lo único que ha contribuido al éxito del ransomware. Para un criminal, una infección con ransomware sólo puede considerarse exitosa si la víctima realiza el pago. Para ese fin, los desarrolladores de ransomware han creado una variedad de formas para convencer a los usuarios que pagar el rescate es la mejor opción.
En abril, surgió una nueva familia de ransomware llamada Jigsaw, nombre tomado de la franquicia de películas de terror, Saw. Resulta interesante que el método de extorsión fue inspirado principalmente por la película, mostrando un cronómetro que mostraba cuánto tiempo le quedaba a la víctima para pagar el rescate – fijado inicialmente en $150 dólares – para recuperar el acceso a los archivos encriptados. Para aumentar aún más el sentimiento de urgencia, por cada hora que pasaba sin pagar el rescate, una parte de los archivos de la víctima se eliminaban – al igual que una escena tomada de la película. Así, después de 72 horas sin realizar el pago, se eliminaban todos los archivos encriptados.
Además de esto, Jigsaw ha mostrado hacia donde se están dirigiendo actualmente los extorsionistas cibernético: un ataque claro y flagrante a la psique de las víctimas. Una muestra particular que los investigadores sacaron a la luz utilizaba una nota de rescate que dicía, “USTED ES UN ADICTO A LA PORNOGRAFÍA”. Este método muestra cómo la vergüenza también puede usarse para obligar a los usuarios a pagar el rescate.
Lanzando una Red Más Amplia
En los últimos meses, varios casos de infecciones de ransomware han mostrado cómo el malware va tras peces más gordos, de usuarios individuales a redes completas de organizaciones. Varios ataques recientes de alto perfil demostraron cómo puede utilizarse para interrumpir las operaciones de los sistemas críticos de varios sectores e industrias.
Cuando la noticia de un “estado interno de emergencia” cerró los sistemas del Centro Médico Presbiteriano de Hollywwod (HPMC), el ransomware pasó de ser un problema individual a uno que podría amenazar no sólo a una organización, sino también a vidas humanas. La red y los sistemas de cómputo del HPMC, incluyendo aquellos relacionados con las exploraciones por tomografía computarizada, los análisis de laboratorio, los medicamentos y la documentación estuvieron fuera de línea durante más de una semana, provocando que el personal del hospital regresara al uso de lápiz y papel. Este incidente también afectó a los sistemas de la sala de emergencia, obligando a HPMC a transferir a los pacientes a otros hospitales.
Como se reportó, el rescato se pagó en su totalidad con la esperanza de recuperar el acceso a las operaciones esenciales del centro médico. Sin embargo, Steve Giles, el CIO del HPMC dijo en un comunicado que ceder a las demandas de los criminales no les facilitó las cosas. Giles señaló, “Recibimos los códigos de desencripción – 900 códigos. Un código de desencripción, único, por dispositivo. No fue un solo código para solucionar el problema. Tuvimos que lidiar con 900 códigos e ir servidor por servidor, dispositivo por dispositivo”.
Aunque las cosas no pararon con el HPMC. La lista de instituciones cuyas operaciones se interrumpieron creció exponencialmente, afectando eventualmente a proveedores de servicios públicos, proveedores de servicios de salud, departamentos de policía e incluso instituciones académicas. Un ataque reciente contra una institución educativa demostró cómo no se le da a las víctimas más opciones que pagar el rescate. Después de sufrir un ataque de ransomware que afectó sus datos críticos, la Universidad de Calgary pagó un rescate de aproximadamente $20,000 dólares canadienses en bitcoins para recuperar el acceso a los datos de investigación que habían sido encriptados. En un comunicado, Linda Dalgetty, Vicepresidente de Finanzas y Servicios, dijo, “Somos una institución de investigación, todos los días realizamos investigación de clase mundial, y no sabemos lo que no sabemos en términos de quién ha sido afectado y lo último que queremos hacer es perder el trabajo al que alguien le ha dedicado gran parte de su tiempo”. El aumento de las víctimas de alto perfil muestra que los criminales saben cómo lograr que sus víctimas – incluso las grandes instituciones, ceder ante sus demandas. Complíquele la vida a una víctima y es muy probable que pague el rescate.
Se Declara la Guerra
Al observar el panorama del ransomware de hoy, uno puede darse cuenta de que la amenaza no parará pronto. En un intento reciente por combatir el método de extorsión digital, el abogado del Estado de California, Bob Hertzberg, encabezó una ley que exige sanciones específicas para quien participe en la propagación de ransomware. Estas sanciones incluyen cárcel hasta por cuatro años y una multa que asciende a $10,000 dólares.
En un comunicado, Hertzberg citó estadísticas del FBI para demostrar por qué es necesaria una legislación sobre el tema. El reporte del FBI señala que el ransomware ya ha provocado daños que ascienden a $209 millones de dólares en los tres primeros meses de 2016 sólo en Estados Unidos – un enorme salto de los 25 millones que las víctimas fueron obligadas a pagar en todo 2015.
Por tanto, el ransomware sigue siendo una gran pesadilla de seguridad para los usuarios finales y las organizaciones no sólo por el aumento de las infecciones, sino porque están surgiendo familias más evolucionadas y nuevas variantes casi todos los días. Esto ilustra un patrón continuo de desarrollo, fundamentado en el hecho de que el método de ataque ha demostrado tener gran éxito.
De hecho, el desarrollo y las infecciones de ransomware se han generalizado al grado que hoy es algo cotidiano. Hasta ahora, ya se han identificado 50 nuevas familias de ransomware solamente en los primeros cinco meses de 2016, un gran avance respecto a las cifras observadas en 2014 y 2015 combinados. Y lo más alarmante es que la amenaza sigue creciendo continuamente – en número y en nivel de efectividad.
Leave a Reply