¿Por qué funciona el ransomware? Psicología y métodos utilizados para distribuir, infectar y extorsionar
Comunicaciones Hoy04/07/2016
En mayo de 2016, los investigadores descubrieron un sitio de la Dark Web llamado The Hall of Ransom, al que se puede tener acceso a través de la red Tor, y que asegura tener una línea de productos y servicios relacionados con el ransomware que se venden a elevados precios.
A continuación Trend Micro explica por qué el ransomware está teniendo tanto éxito y las técnicas más empleadas para maximizar su distribución, el grado de infección y, especialmente, la extorsión con el consiguiente pago del rescate.
El sitio ofrecía al célebre Locky por 3.000 dólares, una variante que se calcula infectó 90.000 equipos diarios en febrero. Además de vender variantes de ransomware, The Hall también anunció la disponibilidad de una solución que se describe como una unidad USB que supuestamente se vende por 1.200 dólares - un “antídoto” único y que no puede copiarse, que promete liberar los archivos que Locky ha encriptado en las máquinas infectadas que corren sobre Linux o Windows. El sitio también presenta lo que se le ha denominado un “ransomware de nueva generación” llamado Goliath que puede comprarse por 2.100 dólares. Se ha descubierto que Goliath tiene un código abierto que se deriva de Locky, y que se ofrece a los “novatos” que están considerando entrar al negocio del crimen cibernético.
Locky se suma a la creciente lista de variantes de ransomware que se han convertido en productos viables en los mercados clandestinos o underground. Anteriormente, otras familias como Petya, Mischa, Cerber y ORX-Locker se han ofrecido en la modalidad de ransomware como servicio (RaaS). En este modelo de distribución, los desarrolladores de malware transfieren el ransomware a asociados que distribuyen el malware, y se paga a los desarrolladores una comisión por cada rescate que pagado. Que el ransomware se haya convertido en un modelo de negocio lucrativo sólo significa una cosa: funciona.
Si bien el descubrimiento del sitio dedicado a ransomware llevó a los investigadores y analistas a creer que se trataba de una estafa diseñada para engañar a los estafadores, las reivindicaciones las declaraciones audaces del sitio eran una señal reveladora, sacar esta plataforma específica de la clandestinidad confirma el nivel de interés que los criminales tienen por el ransomware y explica su actual explosión.
La psicología detrás del ransomware
Al dividirla en etapas, la operación del ransomware es simple: encontrar una manera de infiltrarse a la máquina de una víctima, bloquear el sistema o los archivos críticos que se encuentran en ella, y forzar a la víctima para pagar el rescate. Con los años, el ransomware se ha convertido en una amenaza electrónica muy efectiva que no sólo “aterroriza” a sus posibles víctimas con una pantalla bloqueada, sino que también conoce los puntos débiles de sus objetivos. Al igual que un estafador que estudia cuidadosamente a su víctima, el ransomware busca de manera consistente los temores de su víctima para lograr una estratagema de extorsión efectiva.
A finales de 2015, las Predicciones de Seguridad de Trend Micro para 2016, denominaron a éste el año de la extorsión online, diciendo que: “En 2016, las amenazas online evolucionarán para depender más del dominio de la psicología detrás de cada estratagema que del dominio de los aspectos técnicos de la operación. Los atacantes seguirán utilizando el temor como el principal componente, ya que ha demostrado ser efectivo en el pasado”.
Consulte: Trend Micro 2016 Security Predictions
Cuando se detectaron por primera vez y se categorizaron como scareware que bloquea las máquinas de los usuarios, las primeras variantes de ransomware aprovechaban el temor de la víctima de perder el acceso al equipo infectado, obligándolos a pagar un rescate en lugar de encontrar una solución alternativa. Los Troyanos Policiales (como Reveton) infundían temor entre sus víctimas al hacerse pasar por notificaciones legítimas por violación de las leyes estatales para hacer que los usuarios pincharan en un enlace infectado. Esto preparaba el terreno para un malware más evolucionado y sofisticado que, denominado como crypto-ransomware, iba tras los datos de la víctima para secuestrarlos.
Puesto que el ransomware evoluciona y avanza constantemente en cuanto a sus características, las tácticas de distribución y las demandas de rescate, el temor ha permanecido como el mayor factor de su éxito. Conocer la psique de la víctima ha contribuido enormemente a la propagación y a la efectividad del ransomware.
Los criminales que utilizan el ransomware han duplicado sus esfuerzos para ampliar efectivamente su alcance. La ingeniería social sigue funcionando para beneficio de los secuestradores de datos, pero ahora en un ámbito mucho más amplio. En mayo de 2016, Perezhilton.com enfrentó una vez más un problema de ciberseguridad después de que el sitio pasara de contener “cotilleos” de Hollywood a desplegar anuncios infectados que llevaron a sus cientos de miles de lectores a un gateway que descargaba el ransomware CryptXXX. En su informe, el investigador de seguridad Nick Bilogorskiy dijo, “Después de explotar los navegadores, Angler normalmente baja el malware Bedep que descarga el ransomware CryptXXX e infecta la máquina de la víctima”. El método de distribución utilizado en este caso era más tradicional, pues dependía de un kit de exploits que abusaba de las vulnerabilidades. Pero el uso de un sitio popular comprometido tenía el potencial de afectar a miles de usuarios desprevenidos.
El mismo mes, millones de usuarios de Amazon fueron amenazados por una campaña de phishing que realizaba la descarga del ransomware Locky. El señuelo eran correos fraudulentos que se hacían pasar como mensajes legítimos del gigante del comercio electrónico, enviados por una dirección de correo de amazon.com con un asunto que decía, “Su órden de Amazon.com se ha enviado (#code)” que podía engañar fácilmente a un usuario para que descargara un archivo adjunto que contenía el fichero cargado con malware.
Cuando finalizó mayo, esta misma confianza de los clientes se utilizó en beneficio de los secuestradores de datos cuando una nueva campaña de Torrenlocker utilizó el nombre de un conocido gigante nórdico de las telecomunicaciones, Telia, para propagar malware. Similar a la táctica utilizada para los usuarios de Amazon, los criminales crearon una táctica de ingeniería social para engañar a los usuarios con una factura falsa de la compañía de telecomunicaciones. Una vez que la abrían, el enlace infectado dirigía a las potenciales víctimas a una página web falsa que contenía un código Captcha que, al capturarse, iniciaba la descarga del ransomware.
Obligando a pagar
La creación de tácticas más inteligentes para entrar en el sistema de una víctima no es lo único que ha contribuido al éxito del ransomware. Para un criminal, una infección con ransomware sólo puede considerarse exitosa si la víctima realiza el pago. Para ese fin, los desarrolladores de ransomware han creado una variedad de formas para convencer a los usuarios de que pagar el rescate es la mejor opción.
En abril, surgió una nueva familia de ransomware llamada Jigsaw, nombre tomado de la serie de películas de terror, Saw. Resulta interesante que el método de extorsión fuera inspirado en gran medida por la película, donde se mostraba un cronómetro con el que se enseñaba cuánto tiempo le quedaba a la víctima para pagar el rescate - fijado inicialmente en 150 dólares - para recuperar el acceso a los archivos encriptados. Para aumentar aún más el sentimiento de urgencia, por cada hora que se pasaba sin pagar el rescate, una parte de los archivos de la víctima se eliminaban - al igual que una escena de la película. Así, después de 72 horas sin realizar el pago, se eliminaban todos los archivos cifrados.
Además de esto, Jigsaw ha mostrado hacia donde se están dirigiendo actualmente los ciberextorionadores: un ataque claro y flagrante a la psique de las víctimas. Una muestra particular que los investigadores sacaron a la luz utilizaba una nota de rescate que decía: “USTED ES UN ADICTO A LA PORNOGRAFÍA”. Este método muestra cómo la vergüenza también puede usarse para obligar a los usuarios a pagar el rescate.
Una red más amplia
En los últimos meses, varios casos de infecciones de ransomware han mostrado cómo el malware va tras peces más gordos, de usuarios individuales a redes completas de organizaciones. Varios ataques recientes de alto perfil demostraron cómo puede utilizarse para interrumpir las operaciones de los sistemas críticos de varios sectores e industrias.
Cuando la noticia de un “estado interno de emergencia” cerró los sistemas del Centro Médico Presbiteriano de Hollywwod (HPMC), el ransomware pasó de ser un problema individual a uno que podría amenazar no sólo a una organización, sino también a vidas humanas. La red y los sistemas informáticos del HPMC, incluyendo aquellos relacionados con las exploraciones por tomografía computarizada, los análisis de laboratorio, los medicamentos y la documentación estuvieron fuera de línea durante más de una semana, provocando que el personal del hospital regresara al uso del lápiz y papel. Este incidente también afectó a los sistemas de la sala de emergencia, obligando al HPMC a deriva a los pacientes a otros hospitales.
Como se informó, el rescato se pagó en su totalidad con la esperanza de recuperar el acceso a las operaciones esenciales del centro médico. Sin embargo, Steve Giles, el CIO del HPMC afirmó en un comunicado que ceder a las demandas de los criminales no les facilitó las cosas. Giles señaló, “Hemos recibido 900 códigos de descifrado. Un único código de descifrado por dispositivo. No fue un solo código para solucionar el problema. Tuvimos que lidiar con 900 códigos e ir servidor por servidor, dispositivo por dispositivo”.
Aunque los caos no se detuvieron en el HPMC. La lista de instituciones cuyas operaciones se interrumpieron creció exponencialmente, afectando eventualmente a proveedores de servicios públicos, proveedores de servicios de salud, departamentos de policía e incluso instituciones académicas. Un ataque reciente contra una institución educativa demostró cómo no se da a las víctimas más opciones que pagar el rescate. Después de sufrir un ataque de ransomware que afectó sus datos críticos, la Universidad de Calgary pagó un rescate de aproximadamente 20.000 dólares canadienses en bitcoins para recuperar el acceso a los datos de investigación que habían sido cifrados. En un comunicado, Linda Dalgetty, vicepresidente de finanzas y servicios, apunto: “Somos una institución de investigación, todos los días realizamos investigaciones mundiales, y no sabemos en concreto quién ha sido afectado y lo último que queremos hacer es perder el trabajo al que alguien le ha dedicado gran parte de su tiempo”. El aumento de las víctimas de alto perfil muestra que los criminales saben cómo lograr que sus víctimas - incluso las grandes instituciones, cedan ante sus demandas. Complíquele la vida a una víctima y es muy probable que pague el rescate.
Se declara la guerra
Al observar el panorama del ransomware de hoy, uno puede darse cuenta de que la amenaza no parará pronto. En un intento reciente por combatir el método de extorsión digital, el abogado del Estado de California, Bob Hertzberg, encabezó una ley que exige sanciones específicas para quien participe en la propagación de ransomware. Estas sanciones incluyen condenas de cárcel de hasta cuatro años y una multa que asciende a 10. 000 dólares.
En un comunicado, Hertzberg citó estadísticas del FBI para demostrar por qué es necesaria una legislación sobre el tema. El informe del FBI señala que el ransomware ya ha provocado daños que ascienden a 209 millones de dólares en los tres primeros meses de 2016 sólo en Estados Unidos - un gran salto desde el récord de los 25 millones de extorsiones a las víctimas en todo el año 2015. Por tanto, el ransomware sigue siendo una gran pesadilla de seguridad para los usuarios finales y las organizaciones no sólo por el aumento de las infecciones, sino porque están surgiendo familias más evolucionadas y nuevas variantes casi todos los días. Esto ilustra un patrón continuo de desarrollo, fundamentado en el hecho de que el método de ataque ha demostrado tener gran éxito.
De hecho, el desarrollo y las infecciones de ransomware se han generalizado al grado que hoy es algo cotidiano. Hasta ahora, ya se han identificado 50 nuevas familias de ransomware solamente en los primeros cinco meses de 2016, un gran avance respecto a las cifras observadas en 2014 y 2015 combinados. Y lo más alarmante es que la amenaza sigue creciendo continuamente - en número y en nivel de efectividad. Estamos ante una epidemia.
A continuación Trend Micro explica por qué el ransomware está teniendo tanto éxito y las técnicas más empleadas para maximizar su distribución, el grado de infección y, especialmente, la extorsión con el consiguiente pago del rescate.
El sitio ofrecía al célebre Locky por 3.000 dólares, una variante que se calcula infectó 90.000 equipos diarios en febrero. Además de vender variantes de ransomware, The Hall también anunció la disponibilidad de una solución que se describe como una unidad USB que supuestamente se vende por 1.200 dólares - un “antídoto” único y que no puede copiarse, que promete liberar los archivos que Locky ha encriptado en las máquinas infectadas que corren sobre Linux o Windows. El sitio también presenta lo que se le ha denominado un “ransomware de nueva generación” llamado Goliath que puede comprarse por 2.100 dólares. Se ha descubierto que Goliath tiene un código abierto que se deriva de Locky, y que se ofrece a los “novatos” que están considerando entrar al negocio del crimen cibernético.
Locky se suma a la creciente lista de variantes de ransomware que se han convertido en productos viables en los mercados clandestinos o underground. Anteriormente, otras familias como Petya, Mischa, Cerber y ORX-Locker se han ofrecido en la modalidad de ransomware como servicio (RaaS). En este modelo de distribución, los desarrolladores de malware transfieren el ransomware a asociados que distribuyen el malware, y se paga a los desarrolladores una comisión por cada rescate que pagado. Que el ransomware se haya convertido en un modelo de negocio lucrativo sólo significa una cosa: funciona.
Si bien el descubrimiento del sitio dedicado a ransomware llevó a los investigadores y analistas a creer que se trataba de una estafa diseñada para engañar a los estafadores, las reivindicaciones las declaraciones audaces del sitio eran una señal reveladora, sacar esta plataforma específica de la clandestinidad confirma el nivel de interés que los criminales tienen por el ransomware y explica su actual explosión.
La psicología detrás del ransomware
Al dividirla en etapas, la operación del ransomware es simple: encontrar una manera de infiltrarse a la máquina de una víctima, bloquear el sistema o los archivos críticos que se encuentran en ella, y forzar a la víctima para pagar el rescate. Con los años, el ransomware se ha convertido en una amenaza electrónica muy efectiva que no sólo “aterroriza” a sus posibles víctimas con una pantalla bloqueada, sino que también conoce los puntos débiles de sus objetivos. Al igual que un estafador que estudia cuidadosamente a su víctima, el ransomware busca de manera consistente los temores de su víctima para lograr una estratagema de extorsión efectiva.
A finales de 2015, las Predicciones de Seguridad de Trend Micro para 2016, denominaron a éste el año de la extorsión online, diciendo que: “En 2016, las amenazas online evolucionarán para depender más del dominio de la psicología detrás de cada estratagema que del dominio de los aspectos técnicos de la operación. Los atacantes seguirán utilizando el temor como el principal componente, ya que ha demostrado ser efectivo en el pasado”.
Consulte: Trend Micro 2016 Security Predictions
Cuando se detectaron por primera vez y se categorizaron como scareware que bloquea las máquinas de los usuarios, las primeras variantes de ransomware aprovechaban el temor de la víctima de perder el acceso al equipo infectado, obligándolos a pagar un rescate en lugar de encontrar una solución alternativa. Los Troyanos Policiales (como Reveton) infundían temor entre sus víctimas al hacerse pasar por notificaciones legítimas por violación de las leyes estatales para hacer que los usuarios pincharan en un enlace infectado. Esto preparaba el terreno para un malware más evolucionado y sofisticado que, denominado como crypto-ransomware, iba tras los datos de la víctima para secuestrarlos.
Puesto que el ransomware evoluciona y avanza constantemente en cuanto a sus características, las tácticas de distribución y las demandas de rescate, el temor ha permanecido como el mayor factor de su éxito. Conocer la psique de la víctima ha contribuido enormemente a la propagación y a la efectividad del ransomware.
Los criminales que utilizan el ransomware han duplicado sus esfuerzos para ampliar efectivamente su alcance. La ingeniería social sigue funcionando para beneficio de los secuestradores de datos, pero ahora en un ámbito mucho más amplio. En mayo de 2016, Perezhilton.com enfrentó una vez más un problema de ciberseguridad después de que el sitio pasara de contener “cotilleos” de Hollywood a desplegar anuncios infectados que llevaron a sus cientos de miles de lectores a un gateway que descargaba el ransomware CryptXXX. En su informe, el investigador de seguridad Nick Bilogorskiy dijo, “Después de explotar los navegadores, Angler normalmente baja el malware Bedep que descarga el ransomware CryptXXX e infecta la máquina de la víctima”. El método de distribución utilizado en este caso era más tradicional, pues dependía de un kit de exploits que abusaba de las vulnerabilidades. Pero el uso de un sitio popular comprometido tenía el potencial de afectar a miles de usuarios desprevenidos.
El mismo mes, millones de usuarios de Amazon fueron amenazados por una campaña de phishing que realizaba la descarga del ransomware Locky. El señuelo eran correos fraudulentos que se hacían pasar como mensajes legítimos del gigante del comercio electrónico, enviados por una dirección de correo de amazon.com con un asunto que decía, “Su órden de Amazon.com se ha enviado (#code)” que podía engañar fácilmente a un usuario para que descargara un archivo adjunto que contenía el fichero cargado con malware.
Cuando finalizó mayo, esta misma confianza de los clientes se utilizó en beneficio de los secuestradores de datos cuando una nueva campaña de Torrenlocker utilizó el nombre de un conocido gigante nórdico de las telecomunicaciones, Telia, para propagar malware. Similar a la táctica utilizada para los usuarios de Amazon, los criminales crearon una táctica de ingeniería social para engañar a los usuarios con una factura falsa de la compañía de telecomunicaciones. Una vez que la abrían, el enlace infectado dirigía a las potenciales víctimas a una página web falsa que contenía un código Captcha que, al capturarse, iniciaba la descarga del ransomware.
Obligando a pagar
La creación de tácticas más inteligentes para entrar en el sistema de una víctima no es lo único que ha contribuido al éxito del ransomware. Para un criminal, una infección con ransomware sólo puede considerarse exitosa si la víctima realiza el pago. Para ese fin, los desarrolladores de ransomware han creado una variedad de formas para convencer a los usuarios de que pagar el rescate es la mejor opción.
En abril, surgió una nueva familia de ransomware llamada Jigsaw, nombre tomado de la serie de películas de terror, Saw. Resulta interesante que el método de extorsión fuera inspirado en gran medida por la película, donde se mostraba un cronómetro con el que se enseñaba cuánto tiempo le quedaba a la víctima para pagar el rescate - fijado inicialmente en 150 dólares - para recuperar el acceso a los archivos encriptados. Para aumentar aún más el sentimiento de urgencia, por cada hora que se pasaba sin pagar el rescate, una parte de los archivos de la víctima se eliminaban - al igual que una escena de la película. Así, después de 72 horas sin realizar el pago, se eliminaban todos los archivos cifrados.
Además de esto, Jigsaw ha mostrado hacia donde se están dirigiendo actualmente los ciberextorionadores: un ataque claro y flagrante a la psique de las víctimas. Una muestra particular que los investigadores sacaron a la luz utilizaba una nota de rescate que decía: “USTED ES UN ADICTO A LA PORNOGRAFÍA”. Este método muestra cómo la vergüenza también puede usarse para obligar a los usuarios a pagar el rescate.
Una red más amplia
En los últimos meses, varios casos de infecciones de ransomware han mostrado cómo el malware va tras peces más gordos, de usuarios individuales a redes completas de organizaciones. Varios ataques recientes de alto perfil demostraron cómo puede utilizarse para interrumpir las operaciones de los sistemas críticos de varios sectores e industrias.
Cuando la noticia de un “estado interno de emergencia” cerró los sistemas del Centro Médico Presbiteriano de Hollywwod (HPMC), el ransomware pasó de ser un problema individual a uno que podría amenazar no sólo a una organización, sino también a vidas humanas. La red y los sistemas informáticos del HPMC, incluyendo aquellos relacionados con las exploraciones por tomografía computarizada, los análisis de laboratorio, los medicamentos y la documentación estuvieron fuera de línea durante más de una semana, provocando que el personal del hospital regresara al uso del lápiz y papel. Este incidente también afectó a los sistemas de la sala de emergencia, obligando al HPMC a deriva a los pacientes a otros hospitales.
Como se informó, el rescato se pagó en su totalidad con la esperanza de recuperar el acceso a las operaciones esenciales del centro médico. Sin embargo, Steve Giles, el CIO del HPMC afirmó en un comunicado que ceder a las demandas de los criminales no les facilitó las cosas. Giles señaló, “Hemos recibido 900 códigos de descifrado. Un único código de descifrado por dispositivo. No fue un solo código para solucionar el problema. Tuvimos que lidiar con 900 códigos e ir servidor por servidor, dispositivo por dispositivo”.
Aunque los caos no se detuvieron en el HPMC. La lista de instituciones cuyas operaciones se interrumpieron creció exponencialmente, afectando eventualmente a proveedores de servicios públicos, proveedores de servicios de salud, departamentos de policía e incluso instituciones académicas. Un ataque reciente contra una institución educativa demostró cómo no se da a las víctimas más opciones que pagar el rescate. Después de sufrir un ataque de ransomware que afectó sus datos críticos, la Universidad de Calgary pagó un rescate de aproximadamente 20.000 dólares canadienses en bitcoins para recuperar el acceso a los datos de investigación que habían sido cifrados. En un comunicado, Linda Dalgetty, vicepresidente de finanzas y servicios, apunto: “Somos una institución de investigación, todos los días realizamos investigaciones mundiales, y no sabemos en concreto quién ha sido afectado y lo último que queremos hacer es perder el trabajo al que alguien le ha dedicado gran parte de su tiempo”. El aumento de las víctimas de alto perfil muestra que los criminales saben cómo lograr que sus víctimas - incluso las grandes instituciones, cedan ante sus demandas. Complíquele la vida a una víctima y es muy probable que pague el rescate.
Se declara la guerra
Al observar el panorama del ransomware de hoy, uno puede darse cuenta de que la amenaza no parará pronto. En un intento reciente por combatir el método de extorsión digital, el abogado del Estado de California, Bob Hertzberg, encabezó una ley que exige sanciones específicas para quien participe en la propagación de ransomware. Estas sanciones incluyen condenas de cárcel de hasta cuatro años y una multa que asciende a 10. 000 dólares.
En un comunicado, Hertzberg citó estadísticas del FBI para demostrar por qué es necesaria una legislación sobre el tema. El informe del FBI señala que el ransomware ya ha provocado daños que ascienden a 209 millones de dólares en los tres primeros meses de 2016 sólo en Estados Unidos - un gran salto desde el récord de los 25 millones de extorsiones a las víctimas en todo el año 2015. Por tanto, el ransomware sigue siendo una gran pesadilla de seguridad para los usuarios finales y las organizaciones no sólo por el aumento de las infecciones, sino porque están surgiendo familias más evolucionadas y nuevas variantes casi todos los días. Esto ilustra un patrón continuo de desarrollo, fundamentado en el hecho de que el método de ataque ha demostrado tener gran éxito.
De hecho, el desarrollo y las infecciones de ransomware se han generalizado al grado que hoy es algo cotidiano. Hasta ahora, ya se han identificado 50 nuevas familias de ransomware solamente en los primeros cinco meses de 2016, un gran avance respecto a las cifras observadas en 2014 y 2015 combinados. Y lo más alarmante es que la amenaza sigue creciendo continuamente - en número y en nivel de efectividad. Estamos ante una epidemia.