¿Por qué tiene éxito el ransomware?
¿Por qué funciona el 'ransomware'? Vamos a intentar entender, de la mano de un trabajo de Trend Micro, por qué funcionan estas extorsiones electrónicas, que tienen detrás no sólo técnica sino psicología, y ver cómo han evolucionado los métodos de los delincuentes a la hora de distribuir, infectar y extorsionar.
Cualquier operación de ransomware tiene varias etapas y, para que sea un éxito, tiene que concluir con un pago al extorsionador que, primero, tiene que encontrar una manera de infiltrarse a la máquina de una víctima, bloquear el sistema o los archivos críticos que se encuentran en ella, y forzar a la víctima para pagar el rescate. “Con los años, el ransomware se ha convertido en una amenaza electrónica muy efectiva que no sólo ‘aterroriza’ a sus posibles víctimas con una pantalla bloqueada, sino que también conoce los puntos débiles de sus objetivos. Al igual que un estafador que estudia cuidadosamente a su víctima, el ransomware busca de manera consistente los temores de su víctima para lograr una estratagema de extorsión efectiva”, explica Trend Micro.
Cuando se detectaron por primera vez estos tipos de ataques, se categorizaron como scareware que bloquea las máquinas de los usuarios y, desde el inicio, aprovechaban el temor de la víctima de perder el acceso al equipo infectado, obligándolo a pagar un rescate en lugar de encontrar una solución alternativa. Aunque sus características, tácticas de distribución y las demandas de rescate evolucionan, el temor ha permanecido como el mayor factor de su éxito. Conocer la psique de la víctima ha contribuido enormemente a la propagación y a la efectividad del ransomware.
Según explica la firma de seguridad, los criminales que utilizan el ransomware han duplicado sus esfuerzos para ampliar efectivamente su alcance. La ingeniería social sigue funcionando para beneficio de los secuestradores de datos, pero ahora en un ámbito mucho más amplio.
Repaso a los ataques más recientes
En mayo de 2016, Perezhilton.com enfrentó una vez más un problema de ciberseguridad después de que el sitio pasara de contener “cotilleos” de Hollywood a desplegar anuncios infectados que llevaron a sus cientos de miles de lectores a un gateway que descargaba el ransomware CryptXXX. En su informe, el investigador de seguridad Nick Bilogorskiy dijo, “Después de explotar los navegadores, Angler normalmente baja el malware Bedep que descarga el ransomware CryptXXX e infecta la máquina de la víctima”. El método de distribución era bastante tradicional pues dependía de un kit de exploits que abusaba de las vulnerabilidades, pero el uso de un sitio popular comprometido tenía el potencial de afectar a miles de usuarios desprevenidos.
También en mayo millones de usuarios de Amazon fueron amenazados por una campaña de phishing que realizaba la descarga del ransomware Locky. El señuelo eran correos fraudulentos que se hacían pasar como mensajes legítimos del gigante del comercio electrónico, enviados por una dirección de correo de amazon.com con un asunto que decía, “Su orden de Amazon.com se ha enviado (#code)” que podía engañar fácilmente a un usuario para que descargara un archivo adjunto que contenía el fichero cargado con malware.
Cuando finalizó mayo, esta misma confianza de los clientes se utilizó en beneficio de los secuestradores de datos cuando una nueva campaña de Torrentlocker utilizó el nombre de un conocido gigante nórdico de las telecomunicaciones, Telia, para propagar malware. Similar a la táctica utilizada para los usuarios de Amazon, los criminales crearon una táctica de ingeniería social para engañar a los usuarios con una factura falsa de la compañía de telecomunicaciones. Una vez que la abrían, el enlace infectado dirigía a las potenciales víctimas a una página web falsa que contenía un código Captcha que, al capturarse, iniciaba la descarga del ransomware.
Tácticas más inteligentes
La creación de tácticas más inteligentes para entrar en el sistema de una víctima no es lo único que ha contribuido al éxito del ransomware. Para un criminal, una infección con ransomware sólo puede considerarse exitosa si la víctima realiza el pago. Para ese fin, los desarrolladores de ransomware han creado una variedad de formas para convencer a los usuarios de que pagar el rescate es la mejor opción.
En abril, surgió una nueva familia de ransomware llamada Jigsaw, nombre tomado de la serie de películas de terror, Saw. Resulta interesante que el método de extorsión fuera inspirado en gran medida por la película, donde se mostraba un cronómetro con el que se enseñaba cuánto tiempo le quedaba a la víctima para pagar el rescate – fijado inicialmente en 150 dólares – para recuperar el acceso a los archivos encriptados. Para aumentar aún más el sentimiento de urgencia, por cada hora que se pasaba sin pagar el rescate, una parte de los archivos de la víctima se eliminaban – al igual que una escena de la película. Así, después de 72 horas sin realizar el pago, se eliminaban todos los archivos cifrados.
Además de esto, Jigsaw ha mostrado hacia donde se están dirigiendo actualmente los ciber-extorionadores: un ataque claro y flagrante a la psique de las víctimas. Una muestra particular que los investigadores sacaron a la luz utilizaba una nota de rescate que decía: “USTED ES UN ADICTO A LA PORNOGRAFÍA”. Este método muestra cómo la vergüenza también puede usarse para obligar a los usuarios a pagar el rescate.
Ataques de mayor alcance
En los últimos meses, varios casos de infecciones de ransomware han mostrado cómo el malware va tras peces más gordos, de usuarios individuales a redes completas de organizaciones. Varios ataques recientes de alto perfil demostraron cómo puede utilizarse para interrumpir las operaciones de los sistemas críticos de varios sectores e industrias.
Cuando la noticia de un “estado interno de emergencia” cerró los sistemas del Centro Médico Presbiteriano de Hollywood (HPMC), el ransomware pasó de ser un problema individual a uno que podría amenazar no sólo a una organización, sino también a vidas humanas. La red y los sistemas informáticos del HPMC, incluyendo aquellos relacionados con las exploraciones por tomografía computarizada, los análisis de laboratorio, los medicamentos y la documentación estuvieron fuera de línea durante más de una semana, provocando que el personal del hospital regresara al uso del lápiz y papel. Este incidente también afectó a los sistemas de la sala de emergencia, obligando al HPMC a deriva a los pacientes a otros hospitales.
Como se informó, el rescato se pagó en su totalidad con la esperanza de recuperar el acceso a las operaciones esenciales del centro médico. Sin embargo, Steve Giles, el CIO del HPMC afirmó en un comunicado que ceder a las demandas de los criminales no les facilitó las cosas, ya que “hemos recibido 900 códigos de descifrado. Un único código de descifrado por dispositivo. No fue un solo código para solucionar el problema. Tuvimos que lidiar con 900 códigos e ir servidor por servidor, dispositivo por dispositivo”.
La lista de instituciones cuyas operaciones se interrumpieron, ha crecido exponencialmente, afectando eventualmente a proveedores de servicios público, proveedores de servicios de salud, departamentos de policía o instituciones educativas. Después de sufrir un ataque de ransomware que afectó sus datos críticos, la Universidad de Calgary pagó un rescate de aproximadamente 20.000 dólares canadienses en bitcoins para recuperar el acceso a los datos de investigación que habían sido cifrados. En un comunicado, Linda Dalgetty, vicepresidenta de finanzas y servicios, señala que “somos una institución de investigación, todos los días realizamos investigaciones mundiales, y no sabemos en concreto quién ha sido afectado y lo último que queremos hacer es perder el trabajo al que alguien le ha dedicado gran parte de su tiempo”. El aumento de las víctimas de alto perfil muestra que los criminales saben cómo lograr que sus víctimas, incluso las grandes instituciones, cedan ante sus demandas. “Complíquele la vida a una víctima y es muy probable que pague el rescate”, explica Trend Micro.
Al observar el panorama del ransomware, uno puede darse cuenta de que la amenaza no parará pronto. En un intento reciente por combatir el método de extorsión digital, el abogado del Estado de California, Bob Hertzberg, encabezó una ley que exige sanciones específicas para quien participe en la propagación de ransomware. Estas sanciones incluyen condenas de cárcel de hasta cuatro años y una multa que asciende a 10. 000 dólares.
En un comunicado, Hertzberg citó estadísticas del FBI para demostrar por qué es necesaria una legislación sobre el tema. El informe del FBI señala que el ransomware ya ha provocado daños que ascienden a 209 millones de dólares en los tres primeros meses de 2016 sólo en Estados Unidos – un gran salto desde el récord de los 25 millones de extorsiones a las víctimas en todo el año 2015. Por tanto, el ransomware sigue siendo una gran pesadilla de seguridad para los usuarios finales y las organizaciones no sólo por el aumento de las infecciones, sino porque están surgiendo familias más evolucionadas y nuevas variantes casi todos los días. Esto ilustra un patrón continuo de desarrollo, fundamentado en el hecho de que el método de ataque ha demostrado tener gran éxito.
De hecho, el desarrollo y las infecciones de ransomware se han generalizado al grado que hoy es algo cotidiano. Hasta ahora, ya se han identificado 50 nuevas familias de ransomware solamente en los primeros cinco meses de 2016, un gran avance respecto a las cifras observadas en 2014 y 2015 combinados. Y lo más alarmante es que la amenaza sigue creciendo continuamente en número y en nivel de efectividad.
