Dentro de la Seguridad Informática, una de las principales amenazas son los có- digos maliciosos. De hecho, a lo largo de los años se ha posicionado como uno de los principales causantes de incidentes de seguridad; al principio con los virus, hasta llegar a amenazas sofisticadas como el ransomware. Y precisamente este tipo de malware que, si bien no es nuevo, es el que más dolores de cabeza ha causado en los últimos años tanto para empresas como para usuarios hogareños.
▸ La variedad de estilos del ransomware
En el último año, los casos de ransomware han cobrado relevancia en el campo de la Seguridad Informática debido a su crecimiento en la cantidad de víctimas, un hecho que se debe a los importantes niveles de ganancias que los cibercriminales obtienen de este tipo de campañas maliciosas.
Este formato de ataque puede parecer algo novedoso, pero como se dijo anteriormente, no lo es. De hecho, el primer caso de ransomware se remonta 25 años atrás; se trataba de un malware que ocultaba los directorios y cifraba los nombres de todos los archivos de la unidad C, haciendo inutilizable el sistema. Luego, se le solicitaba al usuario “renovar su licencia” con un pago de 189 dólares. Desde ese momento se han identificado nuevas versiones de programas que buscaban extorsionar a los usuarios, que a diferencia del cifrado simétrico de PC Cyborg, utilizaban algoritmos de cifrado asimétrico con claves cada vez de mayor tamaño. Por ejemplo, en 2005 se conoció GPCoder, y sus posteriores variantes, que luego de cifrar archivos con extensiones específicas solicitaba un pago de entre 100 y 200 dólares como rescate de la información.
Pero este tipo de códigos maliciosos va más allá, y de hecho hay grupos cibercriminales que lo ofrecen como un servicio. El Ransomware as a Service (RaaS) se ha descubierto a través de una herramienta denominada Tox, la que permite crear este tipo de malware de manera automática, independientemente de los conocimientos técnicos de quien la utiliza. De la misma manera, con la reciente noticia de la publicación de Hidden Tear, el primer ransomware de código abierto, se abre una nueva ventana para el desarrollo de este programa malicioso y sus variantes, donde es posible pronosticar la creación de malware cada vez más sofisticado y masivo.
▸ El aumento en la cantidad de variantes
Una de las características salientes del ransomware es el crecimiento en la cantidad de variantes vistas en los últimos años para diferentes tipos de plataformas y tecnologías. En el siguiente gráfico se puede observar, como era de esperarse, que las familias relacionadas con Windows son las que más se han visto con un crecimiento año a año en la cantidad de detecciones. (Gráfico 2)
Pero además de Windows, también se han diseñado variantes para otros sistemas operativos. Tal es el caso de OS X, ya que durante 2015 se detectaron variantes de familias de filecoders exclusivas para estos sistemas.
Gráfico 2: Crecimiento de variantes detectadas de la familia Filecoder en los últimos 5 años
Otras tecnologías como VBS, Python, BAT y PowerShell también son algunas de las utilizadas por los cibercriminales para infectar usuarios y obtener ganancias económicas.
▸ La evolución de las amenazas
Si bien hasta ahora se habló de sistemas operativos para equipos de escritorio o laptops, estas no son las únicas plataformas que están expuestas a esta amenaza. También se encontraron casos de ransomware para afectar dispositivos móviles, particularmente para Android, ya que es el sistema operativo móvil con mayor cantidad de usuarios en el mundo. Tras el descubrimiento de las primeras familias, que incluían antivirus falsos con la capacidad de bloquear las pantallas de los dispositivos, en 2014 fue descubierto Simplocker, el primer ransomware para Android activado en Tor que directamente cifra los archivos del usuario. De hecho, la cantidad de familias que se fueron detectando desde 2014 ha crecido durante 2015.
Gráfico 3: Distribución de la cantidad de variantes detectadas de Simplocker en los últimos dos años
Durante 2015, investigadores de ESET descubrieron el primer tipo de ransomware de bloqueo de pantalla para Android que modifica el código de desbloqueo del teléfono para impedir el acceso. Esto es una diferencia considerable con respecto a los primeros troyanos de bloqueo de pantalla para Android, que lo que hacían era poner constantemente en un primer plano la ventana de pedido de rescate en un bucle infinito.
Como este mecanismo no contaba con una gran complejidad técnica, era fácilmente descartable por parte de los usuarios con cierta información, por lo tanto los cibercriminales redoblaron sus esfuerzos y crearon nuevas familias de ransomware que bloquean el acceso al dispositivo. Estas nuevas familias, detectadas por ESET como Lockerpin, impiden que los usuarios tengan una forma efectiva de recuperar el acceso a sus dispositivos sin los privilegios de raíz o sin una solución de administración de seguridad instalada.
Sin embargo, Android no es la única plataforma en la que el ransomware ha evolucionado. En 2013 se conoció la relevancia de CryptoLocker debido a la cantidad de infecciones generadas en distintos países. Entre sus principales características se encuentra el cifrado a través de algoritmos de clave pública RSA de 2048 bits, enfocado únicamente en algunos tipos de extensiones de archivos, así como en comunicaciones con el Centro de Comando y Control (C&C) a través de la red anónima Tor.
Durante 2015 se identificó una nueva oleada de ransomware con la aparición de CTB-Locker, con la particularidad de que podía ser descargado al equipo de la víctima utilizando un TrojanDownloader, es decir, un troyano que secretamente descargaba esta amenaza. Entre sus distintas versiones, una estaba enfocada a los países hispanoparlantes, con mensajes e instrucciones para realizar los pagos escritos en español. Estos hechos llevan a pensar que el ransomware aún no ha encontrado un límite en cuanto a la cantidad de víctimas que podría alcanzar y a la complejidad que podría obtener su código y formatos de ataque. No obstante, sí parece que esta familia de códigos reapareció para quedarse y seguramente seguirá mutando en los próximos años.
▸ De la computadora al televisor
Hasta ahora, es evidente la evolución de esta amenaza en cuanto a una mayor cantidad variantes, con mecanismos cada vez más complejos y que hacen casi imposible recuperar la información, a menos de que se realice el pago al cibercriminal -una práctica no recomendable- o se tenga algún tipo de respaldo.
De la misma manera, su diversificación también ha ido en aumento. En los últimos meses de 2015 se ha registrado un importante crecimiento de ransomware que se enfoca en equipos asociados a la Internet de las Cosas (IoT, por sus siglas en inglés de Internet of Things). Distintos dispositivos, como relojes o televisores inteligentes, son susceptibles de ser afectados por software malicioso de este tipo, principalmente aquellos que operan en Android.
Pero la IoT abarca más que relojes y televisores; desde automóviles hasta refrigeradores ya tienen la capacidad de conectarse a Internet y basar toda su operatividad en una CPU. Si bien aún no se han encontrado amenazas para estos aparatos, al existir un componente de software y una conexión a Internet, es viable que los atacantes se sientan atraídos para comprometerlos y obtener algún tipo de información valiosa de ellos.
Ya se han realizado pruebas de concepto en las que, por ejemplo, se toma con éxito el control total de un automóvil de forma remota. Por este motivo, de no tomarse las medidas de precaución necesarias por parte de fabricantes y usuarios, nada impediría que un atacante lograra secuestrar las funciones de un dispositivo y exigiera dinero para devolver su control. Tal vez no sea una amenaza que se masifique en los años venideros, pero es necesario no perderla de vista para no tener problemas serios más adelante.
▸ Conclusión: el mismo objetivo para otra amenaza
Durante los últimos años, el secuestro de la información de usuarios y empresas en diferentes plataformas fue una de las tendencias más destacadas. El impacto que puede tener para un usuario, al no poder acceder a toda su información por haberse infectado por un código malicioso, es una preocupación y uno de los incidentes de seguridad más importantes ya que deja al descubierto la falta de copias de seguridad o la vulnerabilidad del negocio de una compañía.
Lamentablemente, el éxito de este tipo de ataques para los cibercriminales, los ha llevado a extenderse no solo a los sistemas con Windows o dispositivos móviles, sino que también ha generado un impacto más que considerable y es una de las mayores preocupaciones de los usuarios y empresas. Durante 2015, hemos visto campañas de ransomware de gran tama- ño y en múltiples lenguajes, como el caso de CTB-Locker en enero de 2015, el cual no puede ser tomado como un hecho aislado. Los cibercriminales buscan convencer a los usuarios de abrir sus amenazas, cifrando sus archivos y secuestrando su información, y es algo que probablemente continúe sucediendo.
Acompañando la evolución de la tecnología, las protecciones contra amenazas como el ransomware han mejorado en base a la experiencia, y deben ser acompañadas por la gestión y la educación de los usuarios. Sin embargo, no todos los dispositivos se pueden proteger con una solución de seguridad, y esto lo convierte en un riesgo de cara al futuro para usuarios y empresas. Basados en estos puntos, y de cara a 2016, continuaremos viendo campañas de ransomware, intentando incorporar nuevas superficies de ataque que prohíban a los usuarios acceder a su información o servicios. La creciente tendencia de que cada vez más dispositivos cuenten con una conexión a Internet le brinda a los cibercriminales una mayor variedad de dispositivos a atacar.
Desde el lado de la seguridad, el desafío se encuentra en cómo garantizar la disponibilidad de la información, además de la detección y eliminación de este tipo de ataques. En el futuro próximo, la seguridad de las redes, el bloqueo de exploits y la correcta configuración de los dispositivos tomará una mayor importancia para prevenir este tipo de ataques, para así permitirle a los usuarios disfrutar de la tecnología: estamos en camino a quintuplicar la cantidad de dispositivos conectados a Internet en cinco años, llegando a los 25 mil millones en línea, por lo que el desafío es protegerlos correctamente ante este tipo de ataques.
Para acceder al boletín completo en PDF, click aquí!