Hoy el ransomware vuelve a ser actualidad. ¿El culpable? El ataque a la intranet de Telefónica, que ha provocado que quede bloqueada. A consecuencia de esto, la empresa ha ordenado a sus empleados que apaguen todos los equipos informáticos. Este ataque ha conseguido secuestrar ya varios equipos de la compañía y pide rescates de hasta 300 dólares para liberarlos.
El supuesto culpable de todo este revuelo es Wanna Decryptor, el ransomware al que se le ha atribuido la infección de los equipos por ahora. Por este mismo motivo y dada la magnitud del problema, en Genbeta hemos creído conveniente repasar los nueve ransomwares más graves de de la historia.
AIDS Trojan, el primer ransomware
Aunque este tipo de malware lleva desde 2005 apareciendo como un problema de seguridad informática recurrente, el primero de todos ellos data de 1989, ni más ni menos. Nos referimos a AIDS Trojan, creado por el ingeniero Joseph L. Popp.
El virus se distribuyó a través de 20.000 disquetes infectados (una barbaridad para la época) a los comparecientes a las conferencias de la Organización Mundial de la Salud sobre el SIDA. Su principal arma era la criptografía simétrica, y no llevó mucho tiempo descifrar los nombres de los archivos para recuperarlos. Sin embargo, este pionero supuso el pistoletazo de salida a lo que ya son casi tres décadas de ransomware.
Reveton, un viejo conocido
En 2006 hubo una especie de "resurgir" del ransomware con Archievus, que introdujo como novedad el cifrado asimétrico y cifraba sólo la carpeta _Mis Documentos_, pidiendo como rescate compras en ciertos sitios web. Sin embargo, no sería hasta 2012 que no llegaría Reveton, la primera gran amenaza.
Este malware tuvo presencia por todo el mundo, infectando millones de máquinas y haciéndose pasar por un aviso de los cuerpos de seguridad de cada país. Sí, nos estamos refiriendo al "Virus de la Policía". En 2014 Avast informaba de que Reveton había evolucionado, en esta ocasión también robando las contraseñas de los usuarios.
CryptoLocker, un clásico del ransomware
Septiembre de 2013 es un mes importante en la historia del ransomware. En estas fechas nacía CryptoLocker, el primer malware que se extendió a través de descargas desde webs comprometidas, o que se envió a negocios como un archivo adjunto en un correo electrónico de suspuestas quejas de clientes.
Las infecciones por CryptoLocker se expandieron rápidamente debido a la infraestructura de la botnet GameOver Zeus, usada por el ruso Evgeniy Bogachev para su esquema de ciberdelincuencia. Actualmente, el ransomware se distribuye a través de redes P2P.
CryptoLocker usa un cifrado AES-256 con el que ataca a archivos con extensiones específicas, y después usa una clave RSA de 2048 bits generada en un servidor command-and-control para cifrar la clave AES-256. Cryptolocker pedía un rescate de 300 dólares o 300 euros, y después amenazaba al usuario con borrar sus datos si no se pagaba la cantidad demandada.
CryptoWall, entre los más comunes
Entre abril de 2014 y principios de 2016, de las cenizas de CryptoLocker nacía CryptoWall, que estuvo entre los ransomwares más usados en el mundo. El malware adoptó varias formas a lo largo de su período de mayor actividad, atacando a cientos de miles de empresas y particulares. Hacia mediados de 2015, el ransomware había recaudado 18 millones de dólares en rescates.
Cuando CryptoWall infectaba un ordenador, cifraba ciertas extensiones usando una clave RSA de 20148 bits. Una vez había cifrado los archivos que le interesaban, pedía al usuario el pago de 500 dólares o 500 euros en el plazo de 48 horas, amenazando con doblar la cantidad si no se atendían sus demandas.
TeslaCrypt, una variante de CryptoWall extinta
TeslaCrypt apareció en 2015 y se convirtió en una amenaza persistente. Sus creadores llegaron a desarrollar cuatro versiones, y usaba una clave AES-256 para cifrar determinadas extensiones de archivos, que después se volvían a cifrar usando una clave RSA-4096. Durante el año pasado, este ransomware estuvo entre los más usados.
TeslaCrypt fue uno de los más avanzados de su época, conteniendo funciones que permitían la persistencia del malware en la máquina de la víctima, entre otras cosas. Finalmente, los autores del ransomware entregarían su clave de descifrado maestra a ESET.
Locky, el rey del ransomware
Cuando se habla de Locky, es inevitable no pensar en él como en el rey del ransomware, algo que se constató en julio del año pasado. Por estas fechas se comprobó que esta variante de CryptoLocker era responsable de un 69% de las infecciones recibidas por correo basura. El malware estuvo inactivo un tiempo, y recientemente ha vuelto tras un tiempo de inactividad.
De hecho, las campañas de phishing eran su método favorito de infección, si bien actualmente está usando una botnet conocida como Dridex junto a otra conocida como Necurs para expandirse. Los creadores del mawlare quieren que su criatura vuelva a dar guerra, y están intentando aumentar las posibilidades de comprometer objetivos de esta manera.
En cuanto a su método de ataque, Locky cifraba en primer lugar determinados archivos con una clave AES-128, que después se volvía a cifrar usando una RSA-2048.
Petya, a por el sector de arranque de tu disco duro
Este malware estuvo entre las amenazas ransomware más comunes de 2016. Y con razón. Petya no cifraba determinadas extensiones de archivos, sino que se instalaba en el sector de arranque del disco duro de la máquina infectada. Este malware estaba dirigido a empresas más que a usuarios particulares, y consiguió infectar 32 millones de máquinas el año pasado.
Su principal medio de transmisión se basaba en mensajes de correo electrónico con enlaces de Dropbox. El enlace de Dropbox supuestamente apunta a una aplicación que el empleado debía instalar para realizar su trabajo. Cuando se lanzaba el ejecutable, el ransomware se inserta en el registro de arranque principal y reinicia el sistema, momento en el que cifra los datos de la unidad.
Jigsaw, "vamos a jugar a un juego..."
El ransomware Jigsaw era un caso algo particular, ya que colocaba al personaje de la saga _Saw_ en la pantalla emitiendo la nota de rescate para la máquina infectada. También amenazaba con borrar un archivo cada hora si el rescate no se pagaba. Además, si la víctima intentaba parar el proceso o reiniciar el ordenador, entonces borraba 1.000 ficheros.
En Bleeping Computer se preguntaron si, dada la cantidad demandada (variaba entre 20 y 200 dólares) y la forma de presionar al usuario, si este malware sería un juego para sus creadores. Cuando una máquina se infectaba con este ransomware, además de ver al personaje ya citado, aparecía un contador de 60 minutos para pagar el rescate.
CryptXXX, ¿la evolución de Reveton?
Según se recoge en CSO, CryptXXX podría ser la evolución de Reveton, debido a que comparten similitudes durante el proceso de infección. El malware fue descubierto por los investigadores de ProofPoint, y pide un rescate de aproximadamente 1.000 dólares para que se puedan recuperar los archivos de la máquina infectada.
En Bleeping Computer se publicaba una extensa lista de los archivos que cifraba, cambiando el nombre de las extensiones. Por ejemplo, si cifraba un documento de Word llamado documento.doc, tras pasar por la atención de CryptXXX quedaba como documento.doc.crypt.
En Xataka | Qué es el ransomware, cómo actúa y cómo prevenirlo
Ver 7 comentarios