El Ransomware es un tipo de programa malicioso que “secuestra” la información del usuario víctima de Malware, evitando que pueda utilizarla o amenaza con publicar la información solicitando se realice un pago para su liberación. Las técnicas de secuestro de datos pueden ir desde mecanismos simples relativamente fácil de revertir hasta técnicas muy complejas de cifrado de datos de llave asimétrica, en la actualidad es común que el pago se solicite por medio de bitcoins, aunque la posibilidad de recuperar la información a pesar del pago es baja.
A continuación hacemos un breve resumen de la evolución del Ransomware en los que se ha manejado cifrado de datos:
- 1989, nace “AIDS Trojan o PC Cyborg” creado por Joseph Popp: La primera extorción conocida con Ransomware, solo cifraba los nombres de archivos y solicita un pago reclamando que una licencia de un software determinado había expirado, se solicita el pago de 189 Dlls para restaurar su información, utiliza cifrado simétrico.
- 1996, Adam L. Young y Moti Yung, realizan pruebas de concepto de secuestro de información por medio de cifrado asimétrico de llave pública, como una critica a la técnica usada por el Ransomware AIDS.
- 2005, en mayo de este año y hasta mediados de 2006, aparecen varias versiones de Ransomware, Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip y MayArchive comienzan a utilizarse esquemas de cifrado de RSA con tamaños de llave cada vez más grandes.
- 2006, en junio de este año AG cifraba con llaves de 660 bits en criptografía de RSA de llave pública.
- 2008, aparece una variante AK, utilizando llaves de 1024 bits en criptografía de RSA de llave pública, en este momento se torna complejo el cifrado y muy difícil de descifrar sin la correspondiente llave privada.
- 2013, en diciembre regresa con la propagación de Cryptolocker, utilizando el bitcoin como manera de recolectar las transacciones, aparecen nuevas amenazas, CryptoLocker 2.0 (no se basa en la primera versión), CryptoDefense.
- 2014, Septiembre, aparecen en Australia una serie de ataques con los nombres CryptoWall and CryptoLocker (versión 2.0, diferente al original), se esparció por correo electrónico anunciado que no fue posible realizar la entrega de un producto por correo tradicional Australiano.
- 2016, en marzo, aparece Petya, a diferencia de otros tipos, infecta el Master Boot Record, cifrando la tabla de archivos de NTFS al siguiente inicio de la computadora después a la infección, evitando que el equipo arranque a no ser que se pague la cuota solicitada.
- 2017, en mayo aparece WannaCrypt (WannaCry), el ataque se esparce por el Internet utilizando un vector llamado EternalBlue, el cual fue una fuga de la NSA, infectó más de 230,000 computadoras en 150 países, este Malware utiliza una falla de seguridad en Windows para poderse replicar automáticamente.
- 2017, en junio aparecer una nueva versión muy modificada de Petya, utilizada principalmente para realizar Cyber ataques principalmente hacia Ucrania, utiliza el mismo vector que se utilizó en WannaCry.
Seguramente seguirán apareciendo nuevas versiones de Ransomware con nuevas técnicas, además de nueva versiones de las ya conocidas, por lo que es muy importante estar alerta, la mejor protección contra el Ransomware es la realización de respaldos de información frecuentes, la aplicación de Parches de Seguridad, así como el uso de Firewallsy Antivirus.
{{cta(’30f9031b-d385-4d1d-b71f-6cbe1ee5aa75′)}}