¿Qué significa que el teléfono móvil muestra un virus ransomware para controlarlo y no infectará el teléfono móvil?
Desde 2005, el ransomware se ha convertido en la ciberamenaza más común. Según los datos, en los últimos 11 años, las infecciones de ransomware han estado involucradas en más de 7.694 a 6.013 violaciones de datos. Durante años, ha habido dos tipos principales de ransomware: el ransomware basado en cifrado y el basado en casilleros. El criptoransomware normalmente cifra archivos y carpetas, discos duros, etc. Locker ransomware, que bloquea los dispositivos de los usuarios, suele ser un ransomware basado en Android. El ransomware de la nueva era combina técnicas de distribución avanzadas (como una infraestructura prediseñada para una distribución rápida y generalizada de ransomware) con técnicas de desarrollo avanzadas (como el uso de cifrados para garantizar que la ingeniería inversa sea extremadamente difícil). Además, los métodos de cifrado fuera de línea se están volviendo cada vez más populares, en los que el ransomware explota características legítimas del sistema (como CryptoAPI de Microsoft) para eliminar la necesidad de comunicaciones de comando y control. Terrance DeJesus, del equipo de investigación e ingeniería de seguridad (SERT) de Solutionary, analiza la historia y los aspectos más destacados del ransomware a lo largo de los años. Troyano SIDA El primer virus ransomware, el troyano SIDA, fue creado en 1989 por Joseph L. Popp, graduado de Harvard. Se distribuyeron 20.000 disquetes infectados entre los asistentes a la Conferencia Internacional sobre el SIDA de la Organización Internacional de la Salud. El arma principal del troyano es el cifrado simétrico. Las herramientas de descifrado recuperan rápidamente los nombres de los archivos, pero esto da inicio a casi 30 años de ataques de ransomware. Archievus Casi dos décadas (17 años) después de que apareciera el primer malware ransomware, ha surgido otro ransomware. La diferencia es que este ransomware es más difícil de eliminar y utiliza cifrado RSA por primera vez en la historia del ransomware. Este troyano Archiveus cifra todos los contenidos del directorio "Mis documentos" del sistema y requiere que los usuarios compren en un sitio web específico para obtener una contraseña para descifrar los archivos. Archiveus es también el primer caso de ransomware que utiliza cifrado asimétrico. 2011 Troyano anónimo Cinco años después, los principales servicios de pago anónimo han facilitado a los atacantes el uso de ransomware para cobrar dinero de las víctimas sin revelar sus identidades. Ese mismo año se hicieron populares los productos relacionados con los troyanos ransomware. Un troyano ransomware simula la notificación de activación de un producto Windows de un usuario, informándole que la instalación de su sistema debe reactivarse debido a un fraude y dirige al usuario a una opción de activación en línea falsa, que requiere que el usuario realice una llamada de larga distancia internacional. El malware afirma que la llamada es gratuita, pero en realidad la llamada se enruta a un operador falso y se pone en espera, lo que genera que el usuario tenga que pagar altos cargos de larga distancia internacional. Reveton Un importante troyano ransomware llamado Reveton ha comenzado a extenderse por Europa. Este software se basa en el troyano Citadel, que afirma que la computadora ha sido comprometida y se está utilizando para actividades ilegales, lo que requiere que los usuarios paguen una multa mediante un servicio de pago por adelantado en efectivo para desbloquear el sistema. En algunos casos, la pantalla de la computadora mostrará imágenes grabadas por la cámara de la computadora, dando al usuario la impresión de que se ha grabado una conducta ilegal. Poco después de este incidente, surgieron muchos ransomware policiales, como Urausy y Tohfy. Los investigadores descubrieron una nueva variante de Reveton en los Estados Unidos, afirmando que es necesario utilizar una tarjeta MoneyPak para pagar una multa de 200 dólares al FBI. Cryptolocker Septiembre de 2013 fue un momento crucial en la historia del ransomware porque nació CryptoLocker. CryptoLocker es el primer malware de cifrado que se descarga de sitios web infectados o se envía como archivo adjunto de correo electrónico a empresarios. Las infecciones por CryptoLocker se propagaron rápidamente a medida que la amenaza explotaba la infraestructura existente de la botnet GameOver Zeus. La Operación Tovar puso fin a las campañas GameOver Zeus Trojan y CryptoLocker en 2014. CryptoLocker utiliza AES-256lai para cifrar archivos con una extensión específica y luego utiliza una clave RSA de 2048 bits generada por el servidor de control de comandos para cifrar la clave AES-256 bits.
El servidor C2 está ubicado en la red Tor, lo que dificulta el descifrado porque el atacante coloca la clave pública RSA en su servidor C2. Los atacantes amenazaron con eliminar las claves privadas si no recibían el dinero en un plazo de tres días. Cryptodefense En 2014, CryptoDefense comenzó a aparecer. Este ransomware aprovechaba Tor y Bitcoin para permanecer en el anonimato y utilizaba cifrado RSA de 2048 bits. CryptoDefense utiliza el cifrado CryptoAPI integrado de Windows y las claves privadas se guardan en el ordenador infectado en formato de texto sin formato; la vulnerabilidad no se descubrió inmediatamente en ese momento. Los creadores de CryptoDefense pronto lanzaron una versión renombrada de CrytoWall. A diferencia de CryptoDefense, CryptoWall no almacena claves de cifrado en un lugar donde el usuario pueda acceder a ellas. CryptoWall se difundió rápidamente porque aprovechó la campaña de correo electrónico de Cutwail, dirigida principalmente a Estados Unidos. CryptoWall también se entrega a través de un kit de explotación y se descubrió que era la última carga útil descargada en la campaña Upatre. CryptoWall ha tenido múltiples campañas activas, todas realizadas por los mismos atacantes. CryptoWall demuestra avances en el desarrollo de malware, manteniendo la persistencia agregando entradas de registro adicionales y copiándose en la carpeta de inicio. En 2015, Cyber Threat Alliance anunció una campaña global CryptoWall por un monto total de 325 millones de dólares. Sypeng y Koler Sypeng pueden considerarse el primer ransomware basado en Android que bloquea la pantalla del usuario y muestra un mensaje de advertencia de penalización del FBI. Sypeng se propaga a través de actualizaciones falsas de Adobe Flash en mensajes de texto y le cuesta a MonkeyPak 200 dólares. El ransomware Koler es muy similar a Sypeng en el sentido de que también utiliza agentes de policía falsos para imponer sanciones y exige a MoneyPak que pague un rescate. Koler es considerado el primer Lockerworm porque contenía tecnología de autopropagación que enviaba mensajes personalizados a la lista de contactos de cada persona, dirigiéndolos a una URL específica para descargar el ransomware nuevamente y luego bloquear sus sistemas. CTB-Locker y SimplLocker A diferencia de otras variantes del pasado, CTB-Locker se comunica directamente con el servidor C2 en Tor en lugar de tener múltiples capas de infraestructura. También fue la primera variante de ransomware que comenzó a eliminar instantáneas de volumen en Windows. En 2016, CTB-Locker se actualizó para apuntar a sitios web específicos. Se cree que SimplLocker, también descubierto en 2014, es el primer ransomware basado en criptomonedas dirigido a dispositivos móviles Android, que simplemente cifra archivos y carpetas en lugar de bloquear el teléfono del usuario. LockerPin En septiembre del año pasado, un agresivo ransomware para Android comenzó a extenderse por todo Estados Unidos. Los investigadores de seguridad de ESET han descubierto el primer malware real que puede restablecer el PIN de un teléfono para bloquearlo permanentemente. Conocido como LockerPin, el malware modifica el PIN de la pantalla de bloqueo de un dispositivo infectado, haciendo que la víctima no pueda acceder a la pantalla. LockerPin luego requiere $500 para desbloquear el dispositivo. El ransomware como servicio (RaaS) comenzó a surgir en 2015. Estos servicios suelen contener kits de herramientas de ransomware fáciles de usar, que se pueden comprar en el mercado negro y que normalmente se venden por entre 1.000 y 3.000 dólares. El comprador también debe compartir el 10%. al 10% con el vendedor 20% de ganancia. Tox a menudo se considera el primer kit de herramientas/ransomware RaaS y el más ampliamente distribuido. TeslaCrypt TeslaCrypt también apareció en 2015 y probablemente seguirá siendo una amenaza continua, ya que los desarrolladores han producido cuatro versiones. Primero se distribuyó a través del kit de explotación Angler y posteriormente a través de otros. TeslaCrypt utiliza AES-256 para cifrar archivos y luego utiliza RSA-4096 para cifrar la clave privada AES. Los dominios C2 dentro de Tor se utilizan para pagos y distribución. Contiene múltiples capas dentro de su infraestructura, incluidos servidores proxy. TeslaCrypt en sí es muy avanzado y contiene características que permiten flexibilidad y persistencia en la máquina de la víctima.
En 2016, los redactores de TeslaCrypt no pudieron entregar su descifrado maestro a ESET. Los ransomware LowLevel04 y Chimera LowLevel04 se descubrieron en 2015 y se dirigen principalmente a escritorio remoto y servicios de terminal. A diferencia de otras campañas de ransomware, los atacantes lo hacen manualmente, obteniendo acceso remoto a los servidores y mapeando los sistemas internos. En este caso, se descubrió que el atacante eliminó registros de aplicaciones, seguridad y sistema. El ransomware Chimera se descubrió a finales de 2015. Se considera el primer ransomware doxing y amenaza con publicar públicamente archivos confidenciales o privados en línea. Chimera utiliza el protocolo P2P de BitMessage para la comunicación C2, y estos C2 son solo nodos de Bitmessage. Ransom32 y 7ev3n Se cree que Ransom32 es el primer ransomware escrito en JavaScript. El malware en sí es más grande que los demás, con 22 MB, y utiliza NW.js, lo que le permite procesar y realizar operaciones similares a otros ransomware escritos en C++ o Delphi. Ransom32 se considera revolucionario porque, en teoría, puede ejecutarse en múltiples plataformas, como Linux, Mac OSX y Windows. El ransomware 7ev3n ha comenzado a llamar la atención en los últimos meses. En 13bitcoin, es probablemente el ransomware con mayor demanda de rescate. 7ev3n ransomware no sólo realiza el cifrado típico y luego el ransomware, sino que también destruye los sistemas Windows. Los desarrolladores de malware parecen estar muy centrados en garantizar que 7ev3n pueda subvertir cualquier método de recuperación de archivos cifrados. Posteriormente se lanzó 7ev3n-HONE$T, lo que redujo la demanda de rescate y agregó algunas funciones útiles. Locky En 2016, los autores de malware EDA2 y Hidden Tear publicaron públicamente el código fuente en GitHub, afirmando que lo hacían con fines de investigación, y los atacantes que rápidamente copiaron el código e hicieron cambios personalizados dieron como resultado una gran cantidad de variaciones aleatorias. El famoso ransomware Locky también se descubrió en 2016. Locky se propagó rápidamente a través de campañas de phishing y explotando la infraestructura de Dridex. Locky también fue noticia por infectar hospitales en todo Estados Unidos. Los atacantes pronto descubrieron que las organizaciones de atención médica comprometidas pagaban rápidamente los rescates, lo que provocó que los correos electrónicos de phishing que contenían descargas de ransomware se distribuyeran ampliamente en toda la industria de la salud. Se descubrió que el ransomware SamSam SamSam o SAMAS se distribuye específicamente a servidores JBoss vulnerables. Inicialmente, el atacante realizará un reconocimiento en el servidor JBoss a través de la herramienta JexBoss, luego explotará la vulnerabilidad e instalará SamSam. A diferencia de otros ransomware, SamSam contiene un canal que permite a los atacantes comunicarse con las víctimas en tiempo real a través del sitio web .onion. KeRanger El primer ransomware oficial basado en Mac OSX, KeRanger, fue descubierto en 2016 y se entregó a través del cliente Transmission BitTorrent para OSX. El ransomware se firmó utilizando un certificado de desarrollo MAC, lo que le permite eludir el software de seguridad GateKeeper de Apple. Petya Petya, que se hizo popular en 2016, se entrega a través de Drop-Box y sobrescribe el registro de arranque maestro (MBR) de la máquina infectada y luego cifra la unidad física. Todavía utiliza el mensaje CHKDISK falso al cifrar la unidad. Si el rescate de $431 no se paga dentro de los 7 días, la tarifa de pago se duplicará. La actualización de Petya contiene una segunda carga útil, una variante del ransomware Mischa que no cifra el disco duro. Maktub Maktub también fue descubierto en 2016 y muestra que los desarrolladores de ransomware están intentando crear variantes muy avanzadas. Maktub es el primer ransomware que utiliza Crypter, un software utilizado para ocultar o cifrar el código fuente de malware. Maktub aprovecha Windows CryptoAPI para realizar cifrado sin conexión, en lugar de utilizar C2 para recuperar y almacenar claves de cifrado.
Jigsaw El ransomware Jigsaw incluye el popular personaje Jigsaw de la serie de películas SAW en el mensaje de rescate y también amenaza con eliminar archivos cada 60 minutos si no se paga un rescate de 150 dólares. Además, se eliminarán 1000 archivos si la víctima intenta bloquear el proceso o reiniciar la computadora. CryptXXX A finales de mayo de 2016, CryptXXX fue el último tema de ransomware que se distribuyó ampliamente. Los investigadores creen que está relacionado con la variante del ransomware Reveton debido a una huella similar durante la fase de infección. CryptXXX se propaga a través de múltiples kits de exploits, principalmente Angler, y se observa comúnmente después de infecciones graves. Sus características incluyen, entre otras: detección anti-sandbox, capacidades de monitoreo de la actividad del mouse, protocolos de comunicación C2 personalizados y pago a través de TOR. ZCryptor Microsoft publicó un artículo que detalla una nueva variante de ransomware, ZCryptoer. Además de su funcionalidad modificada (como cifrar archivos, agregar entradas de registro, etc.), Zcryptoer también se considera el primer gusano Crypto. Distribuido a través de correos electrónicos no deseados, tiene técnicas de autorreproducción para infectar dispositivos externos y otros sistemas mientras cifra cada máquina y unidad compartida. ¿El futuro del ransomware? Los expertos predicen que seguiremos viendo múltiples variantes nuevas en 2016, y de estas variantes, solo unas pocas pueden tener un impacto significativo, dependiendo de los creadores de malware y las bandas cibernéticas involucradas. Ahora que los creadores de ransomware continúan sus esfuerzos de desarrollo, actualizando el ransomware preexistente o creando un nuevo ransomware, predecimos que una mayor flexibilidad y persistencia se convertirá en el estándar del ransomware. Si el ransomware tuviera esta capacidad, sería una pesadilla global. El uso reciente de cifradores por parte de ransomware sugiere que los creadores de ransomware son conscientes de que muchos investigadores están intentando aplicar ingeniería inversa a su software, y esta ingeniería inversa y análisis podrían llevar a los desarrolladores de ransomware a mejorar sus variantes de ransomware.