Hace dos años escribí un artículo titulado ¿Estamos solos contra el ransomware? No more ransom en el que hablaba de este “nuevo” tipo de malware, cada vez más popular, y del proyecto No more ransom de Kaspersky y McAfee. Este proyecto consistía en analizar muestras de ransomware y ofrecer parches para recuperar los archivos cifrados por culpa de nombres como Chimera, Wildfire o Teslacrypt, las cepas de ransomware más populares por entonces.
En el artículo comentaba, entre otras cosas, que si bien las principales víctimas de ransomware son empresas y grandes instituciones públicas, como bibliotecas u hospitales, cualquiera puede ser víctima. Curiosamente, al mes de publicar dicho artículo, Telefónica era víctima de WannaCry, un ransomware que en aquel entonces estaba muy activo. Sin embargo, Telefónica fue la cara visible de otros ataques, no todos reconocidos por los afectados, grandes empresas que se juegan su reputación ante ataques cibernéticos o infecciones de malware o, en este caso, ransomware.
Pues bien. Dos años después, los creadores de ransomware siguen dando guerra, ya que con una inversión mínima de tiempo y esfuerzo logran grandes cantidades de dinero a cambio de desbloquear archivos que han sido cifrados por ese ransomware.
Los nombres que circulan por ahí ya no son Chimera o WannaCry. Ahora son otros los elegidos para bloquear computadoras y pedir un rescate. Nombres como GrandCrab o Ryuk infectaron ordenadores de todo el mundo en 2018. Y si volvemos a la página oficial de The No More Ransom Project, la lista de nombres crece con Getcrypt, Megalocker y otros con nombres más comerciales como Thanatos o Annabelle. Y en la web de McAfee encontrarás un Top 10 de ransomware donde podrás saber más de los nombres que más daño han causado en los últimos años.
De hobby a fuente de ingresos
Y es que, como ocurre con los virus en el mundo real, el malware también evoluciona, se adapta y mejora su eficacia, si bien en el caso de la informática los responsables de esta evolución son ciberdelincuentes que programan código maligno para infectar cuantos más ordenadores mejor aprovechándose de la poca seguridad o de la parte más débil de una cadena que en ocasiones afectará a cientos de computadoras conectadas entre sí.
El problema no es solo que evolucione el ransomware. También lo hacen sus creadores. Antaño se dedicaban a competir entre ellos y en ocasiones podías adquirir ransomware de manera gratuita en foros especializados. En la actualidad, el proceso se ha profesionalizado hasta el punto de que sus responsables han creado tiendas online donde por un módico precio no solo puedes comprar ransomware, directamente compras computadoras ya infectadas a las que puedes acceder vía escritorio remoto.
Los grupos que creaban ransomware competían entre ellos para ver quién lograba el mejor código. Ahora colaboran y ofrecen el ransomware como un servicio más, vendiendo paquetes de exploit a precios irrisorios. El resultado es que quien realiza un ataque ya no tiene necesariamente conocimientos avanzados, simplemente tiene el dinero para comprar el ransomware y propagarlo. Otro detalle es que estas tiendas virtuales no necesariamente están en la llamada Dark Web. Las hay también en la internet corriente accediendo a foros de hacking.
Joint ventures y afiliados
Todos conocemos el dicho “el poder hace la fuerza”. En el mundo de la empresa, esto se convierte en fusiones, adquisiones o joint ventures, alianzas estratégicas para ofrecer un mejor producto o servicio y obtener un mayor beneficio que trabajando por separado. Y la profesionalización de los creadores de ransomware también ha adoptado esta filosofía.
A finales de 2018, McAfee publicaba un artículo analizando la evolución del ransomware GandCrab, al parecer, gracias a que sus responsables habían unido fuerzas con los creadores de NTCrypt, un sistema de cifrado que convertía a GandCrab en un ransomware más difícil de detectar.
Otra tendencia curiosa es la de la afiliación dentro de lo que se conoce desde hace años como Ransomware as a Service. Si bien no es algo nuevo, sí es una tendencia al alza cada vez más popular. El sistema de afiliados consiste en que el cliente paga una cantidad según el número de instalaciones (o mejor dicho infecciones) y el tiempo que durará la infección. Esto se realiza a través de exploit kits, paquetes de software que aprovechan vulnerabilidades de Windows, de Adobe Flash Player o del propio navegador web. Cuanto mejor sea la infección, mayor será el precio que pagará “el cliente” al autor del exploit kit.
Otro modelo de negocio consiste en que el afiliado configura el ransomware según unos sencillos parámetros, aporta su cuenta de pago (Bitcoin o similar) donde los afectados ingresarán el dinero de rescate y del resto se encarga el autor del ransomware. A cambio, éste se lleva una comisión, que puede rondar el 20% del total recaudado.
Comprando equipos infectados
Un simple ejemplo. El equipo de McAfee que investiga tendencias y amenazas de este tipo, llamado McAfee Advanced Threat Research, descubrió a finales de 2018 que por tan solo 10 dólares estadounidenses podías a la seguridad y a los sistemas automáticos de un aeropuerto internacional cuyo nombre no revelaron por razones obvias.
En palabras de estos investigadores, “la dark web contiene tiendas RDP, plataformas en línea que venden acceso a RDP (remote desktop protocol o protocolo de escritorio remoto en castellano), de manera que puedes comprar acceso a sistemas de computadoras para paralizar potencialmente ciuades y derribar grandes empresas”. Y es que cabe recordar que las víctimas de los propagadores de ransomware no se eligen al azar, cuanto mayor sea la víctima mejor, ya que más probabilidades hay de encontrar equipos antiguos con un mal mantenimiento y susceptibles de ser infectados. Esto afecta a ayuntamientos, gobiernos, grandes empresas, centrales eléctricas, hospitales, aeropuertos… A distancia y desde un software de acceso remoto.
Otro ejemplo que incluye McAfee en su informe. Con una inversión inicial de 10 dólares, el grupo conocido como SamSam cobró más de 40.000 dólares de rescate por descifrar los equipos infectados, algo que ninguna empresa por muy productiva que sea lograría nunca. Y eso solo con uno de sus muchos ataques. Solo en 2018, SamSam logró infectar sistemas de 67 organizaciones distintas, en su mayoría estadounidenses, según un análisis de Symantec. En ese análisis, se cita al FBI, que estima que el grupo SamSam recibió 6 millones de dólares en pagos por rescatar equipos infectados por ransomware.
Volviendo a las tiendas de RDP o escritorio remoto, el nivel de profesionalización llega a tal punto que en la tienda puedes ver información completa del “producto” que vas a adquirir, como qué métodos de pago puedes emplear, dónde se encuentran los equipos infectados, última comprobación de que siguen infectados… En algunos casos incluso puedes saber qué sistemas operativos e idioma emplean.
Sentido común y prevención
La buena noticia es que los cibercriminales no hacen magia, aunque para quienes no dominamos las técnicas de hacking en ocasiones nos lo parezcan. La respuesta es más simple, aprovechan contraseñas débiles o la ausencia de ellas, encuentran software desactualizado y con vulnerabilidades que pueden aprovechar…
Siempre ha sido así. Aunque mientras que un buen hacker avisa a los autores de un software cuando encuentran esas vulnerabilidades para que las arreglen y los cibercriminales las aprovechan para su lucro.
En el caso del ransomware, la mejor solución es la prevención, ya que una vez infectados, los archivos quedan cifrados y no es fácil descifrarlos, salvo que haya una cura disponible. Por ello no está de más recordar los consejos que recopilé en el artículo ¿Qué aconsejan los expertos para combatir el ransomware?.