Diciembre de 2024 tiene la dudosa distinción de ser el 35º aniversario del primer ransomware Y el vigésimo aniversario del primer uso del ransomware criminal moderno. Desde finales de la década de 1980, el ransomware ha evolucionado e innovado hasta convertirse en una importante empresa criminal, por lo que parece apropiado reflexionar sobre los cambios e innovaciones que hemos visto en el ransomware durante las últimas tres décadas.
El primer uso de ransomware se identificó en diciembre de 1989; Un individuo envía por correo disquetes que afirman contener software para ayudar a juzgar si un individuo está en riesgo de contraer SIDA, de ahí el nombre AIDS Trojan. Una vez instalado el programa, espere a que la computadora se reinicie 90 veces antes de proceder a ocultar directorios, cifrar nombres de archivos y mostrar una nota de rescate solicitando que se envíe un cheque de caja a un buzón de correo en Panamá para obtener una licencia que pueda recuperar archivos y directorios. .
El responsable fue identificado pero declarado no apto para ser juzgado. Finalmente, la dificultad de distribución. malware Cobrar pagos en el mundo anterior a Internet significó que el intento fue en vano. Sin embargo, la tecnología ha avanzado; Las computadoras están cada vez más conectadas a las redes y han surgido nuevas oportunidades para distribuir ransomware.
En 1996, los investigadores se dieron cuenta del peligro de un “criptovirus” que podía utilizar el cifrado para lanzar ataques de extorsión a las víctimas que necesitaban pagar a cambio de proporcionar la clave de descifrado. Las defensas necesarias para derrotar la amenaza también fueron efectivas. software antivirus y el sistema Copias de seguridad.
Líder técnico de Investigación de Seguridad – EMEA en Cisco Talos.
Aprovechando los beneficios del ransomware
En diciembre de 2004, se reveló evidencia del primer uso de ransomware criminal, GPCode. Este ataque se dirigió a usuarios de Rusia y se entregó como un archivo adjunto de correo electrónico que pretendía ser una solicitud de empleo. Una vez abierto, el archivo adjunto descarga e instala malware en el dispositivo de la víctima que escanea el sistema de archivos y cifra los archivos de los tipos específicos. Las primeras muestras implementaron una rutina de cifrado personalizada que se superó fácilmente antes de que el atacante adoptara la clave pública segura. Cifrado Algoritmos que eran difíciles de piratear.
Este ataque claramente despertó la imaginación de los delincuentes, ya que poco después se lanzaron una variedad de formas diferentes de ransomware. Sin embargo, estos primeros ataques se vieron obstaculizados por la falta de medios fácilmente accesibles para cobrar el pago del rescate sin revelar la identidad del atacante. Proporcionar instrucciones para transferir pagos a cuentas bancarias específicas dejó al atacante vulnerable a una investigación legal de “seguir el dinero”. Los atacantes se están volviendo más creativos al pedir a las víctimas que llamen a números de teléfono con precios especiales o incluso que compren artículos en una farmacia en línea y proporcionen el recibo para recibir instrucciones de descifrado.
Las monedas virtuales y las plataformas de comercio de oro han proporcionado una forma de transferir pagos fuera de los sistemas bancarios regulados y los operadores de ransomware las han adoptado ampliamente como un mecanismo directo para recibir pagos, manteniendo al mismo tiempo su anonimato. Sin embargo, estos servicios de pago finalmente resultaron vulnerables a las acciones de las autoridades reguladoras que limitaban su uso.
La aparición de criptomonedas, como Bitcoin, proporcionó un medio eficaz para que los delincuentes cobraran rescates de forma anónima dentro de un marco resistente a la alteración por parte de las autoridades reguladoras o policiales. Como resultado, los pagos con criptomonedas han sido adoptados con entusiasmo por los operadores de ransomware, siendo el exitoso ransomware CryptoLocker a finales de 2013 uno de los primeros en adoptarlo.
Diversificar la cartera de operaciones de ransomware
Con la adopción de las criptomonedas como medio eficaz para recibir pagos, los operadores de ransomware han podido centrarse en ampliar sus operaciones. El ecosistema ransomware está empezando a profesionalizarse con proveedores especializados que ofrecen sus servicios para compartir algunas de las tareas involucradas en la realización de ataques.
A principios de la década de 2010, los operadores de ransomware tendían a adoptar sus medios preferidos para distribuir su malware, como enviar mensajes de spam, sabotear sitios web o asociarse con operadores de bots que podían instalar malware en una gran cantidad de sistemas comprometidos. Al desarrollar un ecosistema de socios, los autores de ransomware pueden centrarse en desarrollar un mejor ransomware y dejar la distribución de malware a operadores con menos habilidades técnicas que pueden centrarse en técnicas de distribución e ingeniería social.
Los delincuentes han desarrollado portales sofisticados para que sus afiliados midan su éxito y accedan a nuevas funciones para facilitar sus ataques y cobrar pagos de rescate. Inicialmente, estos ataques adoptaron un enfoque de distribución de malware a gran escala en un intento de infectar a tantos usuarios como fuera posible para maximizar el pago del rescate sin tener en cuenta el perfil de las víctimas.
En 2016 se identificó un nuevo tipo de ransomware, SamSam, que se distribuía según un modelo diferente. En lugar de priorizar la cantidad de infecciones y afectar a un gran número de usuarios a cambio de rescates relativamente pequeños, los distribuidores de SamSam se dirigieron a organizaciones específicas y exigieron grandes sumas de dinero a cambio de sus rescates. La pandilla combinó técnicas de piratería con ransomware, buscando penetrar los sistemas de las organizaciones. Luego, el ransomware se identifica e instala en sistemas informáticos clave para perturbar aún más a toda la organización.
Esta innovación ha cambiado el mercado del ransomware. Los operadores de ransomware descubrieron que era más rentable apuntar a organizaciones, perturbando organizaciones enteras y cerrando sus operaciones, lo que les permitía exigir rescates mucho más altos, que cifrar los dispositivos finales de los individuos.
Los delincuentes rápidamente priorizaron ciertos sectores industriales; La industria de la salud se ha convertido en un objetivo frecuente. Supuestamente, esto se debió al impacto del ransomware en los sistemas operativos clave, interrumpiendo gravemente el funcionamiento del centro de atención médica, poniendo vidas en riesgo y, como resultado, aumentando la presión sobre la alta dirección para que pagara el rescate y restaurar rápidamente la funcionalidad.
El ransomware nació en la era moderna
En noviembre de 2019, los atacantes que entregaban el ransomware Maze utilizaron por primera vez la innovación de doble extorsión. En estos ataques, el atacante roba datos confidenciales de los sistemas antes de cifrarlos. Al hacer esto, el atacante puede ejercer dos formas de presionar a los líderes empresariales para que paguen el rescate; Eliminación del acceso a los datos y amenaza de divulgación pública de datos confidenciales con consecuencias regulatorias y para la reputación.
A lo largo de los años, han surgido varios imitadores de ransomware. Hemos visto ransomware falso que simplemente entrega una nota de rescate sin tener que cifrar ningún dato; Esperemos que las víctimas paguen pase lo que pase.
WannaCry era un malware autopropagante que se propagó por todo el mundo en mayo de 2017. Aunque el malware cifraba datos, la pequeña cantidad de carteras Bitcoin populares por las que se exigían pagos de rescate significaba que el atacante tenía pocas oportunidades de saber cuál de ellas. Las víctimas han pagado el rescate y a quién se les deben entregar las claves de descifrado.
El malware NotPetya que apareció en junio de 2017 es supuestamente ransomware y se propaga de forma independiente a través de las redes. Aunque cifró archivos y ofreció una nota de rescate, fue un ataque devastador. El identificador único de la nota no era relevante para el proceso de cifrado y el malware borró y cifró datos importantes, haciéndolos irrecuperables incluso con la clave de descifrado correcta.
El ransomware no es sólo un delito financiero. Afecta a los afectados por la interrupción de los servicios básicos. Las personas que no pueden acceder a datos críticos o trabajar se sienten ansiosas y estresadas, mientras que los departamentos de TI que trabajan para resolver la situación experimentan estrés adicional y corren el riesgo de agotarse. A nivel humano, algunas personas inevitablemente pierden datos irreemplazables, p. foto Desde seres queridos o proyectos a los que han dedicado varios meses o años de trabajo.
Lecciones para las empresas y la industria
El panorama de TI en 2024 es muy diferente al de 1989 o 2004. Mejorar la ingeniería de software y Gestión de parches Esto significa que es más difícil para el ransomware infectar sistemas a través de vulnerabilidades del navegador web sin parches. Por el contrario, la cantidad de violaciones de contraseñas a lo largo de los años, que ponen a disposición de los delincuentes contraseñas potencialmente reutilizables o fáciles de adivinar, significa que el usuario humano es cada vez más el punto de entrada.
No deberíamos sentirnos impotentes ante el ransomware. Las actividades policiales han arrestado y acusado a varios operadores de ransomware. Otros que eludieron el arresto fueron sometidos a sanciones internacionales. Se confiscaron la infraestructura utilizada para coordinar los ataques y las billeteras de criptomonedas. La detección de antivirus también ha evolucionado a lo largo de los años, aunque algunos programas maliciosos pueden saltarse la etapa de detección. Software de protección de terminales Busca constantemente evidencia de programas desconocidos que intentan cifrar archivos sin permiso.
El talón de Aquiles del ransomware son las copias de seguridad. Los datos respaldados y almacenados sin conexión se pueden utilizar para recuperar archivos dañados o perdidos, eliminando así cualquier necesidad de pagar un rescate para recuperar archivos. El éxito del ransomware en los últimos 35 años es también la historia del fracaso de la adopción generalizada de dispositivos de respaldo para la recuperación de archivos.
De cara al futuro, es poco probable que veamos el fin del ransomware. Su rentabilidad para los delincuentes significa que es probable que siga atormentándonos durante muchos años más. También es poco probable que esto siga igual. Los delincuentes han demostrado ser notablemente creativos a la hora de idear nuevas tecnologías y métodos para mejorar el modelo de negocio y evadir la detección y el malware.
Sin embargo, ciberseguridad La industria es igualmente innovadora y desarrolla constantemente nuevas herramientas y estrategias para combatir estas amenazas. Al mantenernos informados, adoptar sólidas medidas de seguridad y colaborar globalmente, podemos mitigar los riesgos y construir un futuro digital más resiliente.
Hemos compilado una lista de los mejores servicios de respaldo en la nube.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro