Historia del ransomware: desde Cryptolocker hasta WannaCry
Así han evolucionado los ransomware, la principal amenaza que cifra nuestros archivos y nos pide un rescate para recuperarlos.
26 noviembre, 2017 21:20Noticias relacionadas
- 23 años después, los ordenadores Amiga aún reciben nuevos componentes como esta placa base
- Crean una computadora dentro de un juego de construir ciudades... y funciona a base de caca
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
- Los Macs empezarán a usar procesadores ARM en el 2020, dejando atrás a Intel
El ransomware se ha convertido en la amenaza número uno en seguridad informática. Y su evolución es larga y constante, con muchas variantes que llegan año tras año. Os contamos todo lo que debéis saber.
Los virus ya no rompen tu ordenador o te espían para después chantajearte (que también). La última moda son los virus que cifran todos los archivos de tu ordenador, para después pedirte un rescate si quieres recuperar tus archivos. Un secuestro que no sólo deja tu ordenador inútil, también consigue hacerte perder los archivos.
Esta clase de amenazas se llaman ransomware, y han empezado a causar daños enormes a partir del año pasado. No sólo han sido los responsables de que muchos usuarios pierdan sus archivos, también lo han sido de interrupciones en pequeñas y grandes empresas. Hasta llegaron al servicio nacional de salud británico.
Pero el ransomware no nació el año pasado. Estamos hablando de una amenaza que, aunque se ha hecho famosa hace poco, tiene décadas de antigüedad. Todo empezó un buen día de 1989, y apuntaba de lleno a la industria médica.
Troyano AIDS (1989)
La historia del primer ransomware documentado es pintoresca cuanto menos. Un biólogo, Joseph Popp, repartió 20.000 diskettes a los asistentes de la conferencia sobre el SIDA de la Organización Mundial de la Salud. Los diskettes venían con el nombre de “Información sobre el SIDA – Diskettes de introducción”, y tenían mensajes de advertencia como “afecta de forma negativa a otros programas” o “tu ordenador dejará de funcionar de manera normal”.
Si el usuario introducía el diskette ignorando todos esos avisos, el troyano bloqueaba el ordenador y cifraba todos los archivos. Si el usuario quería recuperar los archivos, tenía que enviar 189 dólares a un apartado de correos de Panamá. Por suerte, el cifrado era muy sencillo de romper y salieron herramientas para recuperar los archivos.
Archievus (2005)
Archievus llegó una década después, y fue el primer ransomware que empezó a usar criptografía asimétrica. En otras palabras, comenzó a hacer el descifrado de archivos bastante más complicado sin tener la clave.
Cifraba todo el contenido de la clásica carpeta “Mis documentos”, pero no pedía dinero directamente para desbloquear los archivos. Lo que hacía era obligar a hacer compras a determinadas páginas web para conseguir las contraseñas que desbloqueaban los archivos.
Reveton (2012)
¿Os acordáis del llamado “virus de la policía“? Ese que bloquea nuestro ordenador con cualquier excusa, como el consumo de pornografía o contenido ilegal, y nos pedía un pago a modo de “multa” para desbloquear el ordenador. Pues ese virus se llama Reveton, y usaba troyanos para colarse en los ordenadores.
Tuvo tanto éxito que se crearon decenas de variantes, adaptadas al país al que se quería atacar. Mensajes falsos del FBI estadounidense, de la policía metropolitana de Reino Unido, de la Policía federal belga, de la Policía Nacional española… el pago se hace con tarjetas prepago, y algunos contaban con cuenta atrás para añadir presión.
Cryptolocker (2013)
Comenzamos con los casos famosos de la mano de la familia Cryptolocker. Entra en los ordenadores a través de los archivos adjuntos de los correos electrónicos, o a través del puerto remoto 3389. Destaca porque modifica las claves de registro y se copia a más carpetas para mantenerse en el ordenador. Es decir, intenta combatir los intentos de borrarlo.
La familia cifra sólo ciertos archivos del ordenador: archivos de Office, documentos, fotos y archivos de AutoCAD. Si no lo hacemos en un periodo de tiempo, los archivos se perderán. También es innovador en usar Tor y Bitcoin para proteger el anonimato de los hackers. Y ojo, porque habría conseguido entre 3 y 27 millones de dólares.
SimplLocker (2014)
SimplLocker pasaría por una variante más de Cryptolocker de no ser por un detalle: es el primer ransomware documentado que ataca a smartphones. Descubierto por ESET, salió de unos foros rusos y se centraba en exclusiva en los smartphones con Android. El pago para desbloquear los archivos es de unos 16€, y cifra archivos concretos de la tarjeta SD.
Por suerte para los afectados, y según el estudio de ESET, SimplLocker parecía un trabajo a medio hacer. Y el equipo de investigadores de ESET consiguió lanzar una herramienta para descifrar todos los archivos afectados por el troyano.
TeslaCrypt (2015)
El nacimiento de TeslaCrypt empezó como una curiosidad: lo único que hacía era cifrar archivos de guardado de videojuegos famosos. Vamos, hacía perder los archivos de Call of Duty, Minecraft, World of Warcraft o World of Tanks. Entraba en el ordenador a través de un fallo en Adobe Flash, y pedía un pago de 500 dólares también en Bitcoin.
Después fue cuando empezaron a salir nuevas variantes, y cuando empezó a cifrar archivos concretos como Office o imágenes de todo el ordenador. Sus creadores también han lanzado nuevas versiones de TeslaCrypt para solucionar fallos que permitían el descifrado sin pagar.
Ransom32 (2016)
Por otra parte, Ransom32 destaca entre la multitud por ser el primero escrito en Javascript. Esto implica que también funciona en macOS y en Linux, consiguiendo no ser exclusivo de Windows.
También destaca por ser uno de los primeros “ransomware as a service”. Es decir, cualquiera puede meter su dirección de Bitcoin e intentar infectar a la gente para ganar dinero. Los creadores de Ransom32 se llevan un porcentaje, y el responsable de colarlo otra parte. No es el primer ransomware que lo hace, pero ha sido uno con mucho alcance.
Locky (2016)
Locky nos mete de lleno en 2016 con una de las campañas más agresivas para meterse en ordenadores. Una vez se mete en nuestro ordenador cambia el fondo de pantalla, mostrando las instrucciones para descifrar. También borra las instantáneas de Windows para evitar la recuperación.
Se diferencia del resto de servicios en que nos obliga a acudir a la Internet oscura si queremos realizar el pago. Es decir, la plataforma de pagos no viene integrada con la herramienta de cifrado. También consiguió atacar con éxito varias instituciones médicas, trasladando el miedo a estas amenazas a los hospitales.
Petya + Mischa (2016)
Alcanzamos uno de los nombres más sonados entre el ransomware. Petya destaca porque es capaz de sobreescribir el registro de arranque principal del ordenador infectado. No se queda ahí, porque no cifra los archivos o busca archivos concretos: cifra todo el disco duro.
El problema es que Petya necesitaba permisos de administrador en primer lugar para funcionar. Así que sus creadores lo juntaron con Misha, un ransomware más convencional que sólo cifra ciertos archivos. Busca ciertas extensiones y cifra archivos concretos.
La gracia es que Petya y Misha vienen en el mismo paquete. Si le das permisos de administrador, ataca Petya. Si no le das permisos de administrador, ataca Misha. De esta forma los atacantes se aseguran de hacer daño.
Jigsaw (2016)
Jigsaw, como su propio nombre indica, se basa en la idea que traen las películas Saw. Lo malo es que lo hace con nuestros archivos. No se conforma con cifrarlos, amenaza con ir borrando archivos según pasa el tiempo. Y si apagamos el ordenador borrará 1000 archivos del tirón. Para pensárselo.
KeRanger (2016)
Mientras que la mayoría de ransomware apunta a Windows, KeRanger es el primero que se dedica en exclusiva a macOS. Sus atacantes lo prepararon tan bien que hasta tenía certificado de desarrollador de Apple, haciendo que no saltase la protección Gatekeeper.
Flocker (2016)
Flocker imita a SimplLocker en que también se especializa en atacar a Android, y usa la idea de Reveton de hacerse pasar por una autoridad. Pero ha llegado a los titulares por ser un ransomware que puede atacar a televisiones, especialmente a las que tienen Android como sistema operativo.
PopcornTime (2016)
Como su propio nombre indica, Popcorn Time aprovecha la popularidad de la aplicación de series y películas para colarse en ordenadores. Archivos internos del ransomware afirman que sus creadores son estudiantes sirios, y que usarán el dinero para hacerse con elementos de primera necesidad.
Pero lo impresionante de Popcorn Time no es que sus creadores afirmen necesitar ayuda humanitaria. Resulta que existe una forma diferente de conseguir el código de desbloqueo: conseguir infectar a otros dos usuarios con el mismo ransomware. Es decir, salvarte a costa de otras dos personas.
WannaCry (2017)
WannaCry se ha convertido en uno de los ransomware más potentes del año. No por su efecto en los usuarios, sino porque consiguió paralizar al servicio nacional de salud de Reino Unido, y a compañías como Telefónica, FedEx o Deutsche Bahn. Es decir, consiguió un efecto brutal en el mundo empresarial.
Marcus Hutchings, un investigador británico, consiguió detener su expansión encontrando un dominio web en el código y registrándolo. WannaCry estaba diseñado para no actuar si conseguía contactar con esta web, por lo que registrarlo detuvo el ataque. Las versiones posteriores no tienen esta peculiaridad, pero esto sirvió para detener el avance inicial del virus. Este tiempo también sirvió para empezar a desarrollar y distribuir las soluciones.
Bad Rabbit (2017)
El último que ha actuado a nivel mundial es Bad Rabbit, una variante de Not-Petya. Se ha centrado especialmente en países como Rusia, Ucrania y Bulgaria, y el análisis de su código indica que estaba dirigido contra empresas. Como detalles curiosos, y según Kaspersky, se encuentran nombres de Juego de Tronos dentro del código.