Ransomware: la peste de la era tecnológica

11/12/2015
Publicat a: El Confidencial

Cifran toda la información que encuentran en tu ordenador y te piden 500€ a cambio de descifrarla. Son la última generación de virus, los llamados "ransomware" (programas que piden un rescate), una auténtica peste negra que no distingue entre empresas, adolescentes, ricos, pobres, Windows, Mac, Linux o Android y que empieza a adentrarse en el Internet de las Cosas. Este año ha duplicado su volumen y las predicciones auguran que en 2016 será peor.

Inna Simone fue una de las primeras víctimas del temible virus Cryptowall, el rey de los ransomware. Como en una saga nórdica, Cyptowall és hijo de Cryptolocker, que a su vez es hijo de CryptoDefense (http://thehackernews.com/2014/06/new-cryptowall-ransomware-spreading.html). La historia de Inna se hizo famosa porque su hija, periodista, la escribió en "The New York Times" (https://labsblog.f-secure.com/2015/09/28/cryptowalls-customer-journey). El relato de Simone, como otras víctimas de ransomware, pone los pelos de punta porque no es sólo el susto mayúsculo de ver cómo tu ordenador a quedado inservible, sino que además no tienes idea de qué son Bitcoins ni dónde conseguirlos.

No hay estadísticas oficiales ni globales sobre el avance de esta grave amenaza, pero sí destellos. El informe anual de seguridad corporativa de Kaspersky Lab certifica que las infecciones por ransomware se han doblado en las empresas, pasando de casi 25.000 ordenadores infectados detectados por Kaspersky en 2014 al doble en 2015 (https://securelist.com/analysis/kaspersky-security-bulletin/72969/kaspersky-security-bulletin-2015-evolution-of-cyber-threats-in-the-corporate-sector).

Según el informe, este importante aumento en entornos corporativos se explica porque "se pueden pedir rescates más cuantiosos a una organización que a un individual" y además las empresas son más vulnerables porque "necesitan la información que ha sido cifrada para la continuidad de su negocio, por lo que hay más posibilidades de que paguen el rescate".

Entre abril de 2014 y junio de 2015 el FBI recibió 992 denuncias referidas a Cryptowall. Es un número bajo respecto a las infecciones reales porque la mayoría de víctimas no lo denuncian, asegura el Jefe de Sección de Seguridad Lógica de la Unidad de Delitos Informáticos del Cuerpo Nacional de Policía: "No les importa demasiado perder unas fotos o algo de información, o bien pagan el rescate y no lo denuncian". En realidad, dice, hay "miles de incidencias".

De todas formas, la policía no puede hacer mucho contra estos delincuentes porque "como no están en nuestro país, como mucho podemos recopilar inteligencia o hacer campañas de prevención, pero su persecución debe hacerse a nivel internacional". Sólo una vez pudieron actuar, en 2013, cuando reinaba el "Virus de la Policía".

Este ransomware fue de los primeros. No cifraba el contenido del ordenador sinó que lo bloqueaba y se hacía pasar por una herramienta de la policía para que las víctimas pagasen una "multa" por haber visitado sitios de piratería o pornográficos. Los recuerda bien Josep Albors, de ESET ESPAÑA: "Las primeras muestras en España se observaron en junio de 2011; los delincuentes desarrollaron variantes cada vez más sofisticadas, suplantando a otros cuerpos como la Guardia Civil, Europol o incluso usando la imagen del Rey Juan Carlos I y Felipe VI".

El virus entraba en el ordenador de la víctima vía mails maliciosos, agujeros de seguridad en programas (http://elblogdeangelucho.com/elblogdeangelucho/blog/2014/09/28/todo-lo-que-debes-saber-sobre-el-virus-de-la-policia/) o mediante anuncios maliciosos en sitios web que infectaban a los navegadores desactualizados. Esta última vía estuvo latente durante dos años, sin que nadie lo sospechase.

El Virus de la Policía cosechó un montón de víctimas en España, hubo 1.200 denuncias y más de 800.000 personas que pidieron información a la Oficina de Seguridad del Internauta, usualmente por haber sido infectadas. La policía se puso a investigar, en coordinación con 30 países(http://www.policia.es/prensa/20130216_1.html), y descubrieron que el autor del virus, ahora en prisión a la espera de juicio, vivía en España.

Descubrieron también que estaban ante una banda criminal cuya parte económica, encargada del cobro y blanqueo del dinero, con un volumen de más de un millón de euros anuales, también vivía en España, concretamente en Málaga, donde se realizaron diez detenciones de rusos y ucranianos, más otro grupo, de dos ucranianos, en Madrid. Fue una operación gloriosa.

Dos años después, parecen haber pasado veinte, con un aumento fulgurante del ransomware que se ha hecho cada vez más peligroso y con rescates más caros. "No tenemos estadísticas, pero sigue en auge y seguirá, porque es un negocio retable para los atacantes", explica Bernardo Quintero, del servicio VirusTotal. Efectivamente, frente a otros delitos, como los troyanos bancarios, que requieren una infraestructura de intermediarios para extraer el dinero, blanquearlo y hacerlo llegar a los delincuentes, el ransomware "usa un canal de pago más directo entre los afectados y el atacante", asegura Quintero.

Además, las víctimas del ransomware no tienen un hermano mayor que las defienda, explica: "Las entidades financieras emplean recursos para luchar contra los troyanos bancarios, mientras que el ransomware afecta a usuarios de todo tipo y no cuenta con una respuesta tan coordinada por parte de un sector como el de la banca, que podría emplear recursos adicionales en su prevención".

Los ransomware campan a sus anchas y, sin depredadores naturales, evolucionan rápidamente hacia nuevas y mejores formas de asustar a la gente para que pague. Recientemente se conocía la existencia de un nuevo especímen, Chimera (https://blog.malwarebytes.org/intelligence/2015/12/inside-chimera-ransomware-the-first-doxingware-in-wild), que no sólo cifra los datos sinó que además amenaza con hacer públicas imágenes y otros archivos comprometedores hallados en el ordenador.

Mientras, el Tyrannosaurus rex de los ransomware, CryptoWall, va por la versión 4 con un cifrado indestructible y estrategias para evitar que la víctima pueda restaurar la información cifrada con una copia de seguridad (http://guides.uufix.com/what-can-you-do-once-your-pc-is-infected-by-cryptowall-4-0-ransomware). Ha aumentado también el precio del rescate, que ahora son 1,84 Bitcoins, unos 700 euros. Su predecesor, Cryptowall 3.0, habría conseguido hasta 325 millones de dólares en rescates (http://cyberthreatalliance.org/cryptowall-executive-summary.pdf) y se estima que la versión 4 conseguirá muchos más.

Cuando los usuarios ya han sido educados en no abrir adjuntos sospechosos en el correo, el ransomware se dirige cada vez más a la web, asaltando servicios que nutren de anuncios a los sitios más visitados, o directamente asaltando estos sitios para que infecten a quienes los visitan con navegadores desactualizados. No es raro que webs de medios de comunicación, con millones de visitantes mensuales, pasen meses infectando a sus visitantes sin darse cuenta, hasta que alguna víctima correlaciona el haberlas visitado con el ransomware.

Sólo en los últimos meses han tenido este problema sitios tan populares como Yahoo! (https://blog.malwarebytes.org/malvertising-2/2015/08/large-malvertising-campaign-takes-on-yahoo/), The Economist (http://securityaffairs.co/wordpress/41812/cyber-crime/the-economist-pagefair-attack.html), Daily Mail (https://blog.malwarebytes.org/malvertising-2/2015/10/angler-exploit-kit-blasts-daily-mail-visitors-via-malvertising), Reader's Digest (https://blog.malwarebytes.org/online-security/2015/11/readers-digest-and-other-wordpress-sites-compromised-push-angler-ek), The Independent (http://www.theregister.co.uk/2015/12/10/legacy_wordpress_blog_site_of_ithe_independenti_serving_malware), The Guardian (http://thehackernews.com/2014/06/new-cryptowall-ransomware-spreading.html), eBay, Disney, Facebook o Weather.com (https://blog.malwarebytes.org/malvertising-2/2015/08/ssl-malvertising-campaign-continues).

En España no se conoce por el momento que ningún medio de comunicación haya infectado a sus visitantes. Las oleadas de ransomware nos han llegado en adjuntos a mensajes de correo que se han disfrazado de faxes muy importantes, de facturas del agua (http://blogs.protegerse.com/laboratorio/2015/01/30/nueva-oleada-de-ctb-locker-ahora-con-mensajes-en-espanol) y, en diciembre del año pasado, los criminales dieron con el filón de los mensajes que simulaban proceder de Correos.

El experto en seguridad informática Yago Jesús, autor de Anti-Ransom, que previene los ataques de ransomware, escribía en su blog el 3 de diciembre de 2014 (http://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html): "A lo largo de la tarde no he parado de recibir peticiones de ayudas desde varias organizaciones y empresas debido a una masiva infección mediante 'CryptoLocker'. La fisonomía del ataque se aleja de los típicos correos mal escritos y que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado".

Los mensajes eran personalizados, con el nombre y apellidos de la persona a la que se dirigían. Esto hizo que muchos cayesen en la trampa. El ransomware pedía 300€, el doble si se pagaba pasado el plazo. El mismo truco se usó en todo el mundo, disfrazando el virus según los servicios de correos de cada país. En España fue tan beneficioso para los delincuentes que repitieron al menos una vez más.

Yago Jesús creó Anti-Ransom (http://www.security-projects.com/?Anti_Ransom) en 2013, a raíz de los primeros casos que se vivieron en España (http://www.securitybydefault.com/2013/06/pagando-un-ciber-rescate.html), cuando el ransomware ni siquiera estaba traducido al español: "Hice esta herramienta cuando vi la desesperación que genera ese tipo de amenaza. Encontrarte a toda una mujer de 4x años, llorando y diciendo que, o recuperaba sus datos, o cerraba una empresa con varios empleados, me impactó bastante".

Anti-Ransom no es un antivirus sinó una inteligente trampa: una vez instalado, crea una carpeta-señuelo con archivos que parecen contener información personal, la preferida del ransomware. La carpeta estará allí sin hacer nada hasta que, si por desgracia nos infectamos, cuando el virus cifre el contenido de la carpeta se nos avisará de que está pasando algo raro, para que podamos desconectar el ordenador y parar así la infección. La última versión de Anti-Ransom ya es capaz de identificar el virus y bloquearlo en seco, abortando la infección.

No hay muchas herramientas para luchar contra esta peste, que muta continuamente engañando a los antivirus. Cuando en una redada se detiene a los delincuentes y se requisan las claves privadas de sus ransomware, estas se hacen públicas inmediatamente. Así sucedió con Coinvault y Bitcryptor, de cuyas claves se nutre NoRansom (https://noransom.kaspersky.com), un servicio de Kaspersky que descifra los datos cifrados por estos virus.

Recientemente, el equipo de seguridad de la administración pública española, CCN-CERT, sacaba un exhaustivo informe (https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1078-ccn-cert-ia-22-15-medidas-de-seguridad-contra-ransomware/file.html) sobre medidas de prevención y cómo limpiar un ordenador infectado. No hay mucho más que se pueda hacer que prevenir, contra esta plaga que se atreve con todo.

El descaro de los delincuentes es tan grande que infectaron recientemente una página de "The Guardian" donde había una artículo titulado: "¿Está el cibercrimen fuera de control?" (http://www.theregister.co.uk/2015/12/11/grauniad_asks_is_cyber_crime_out_of_control_vxers_answer_with_hack/). Han infectado incluso comisarías de policía, que en algunos casos han acabado, impotentes, pagando el rescate (http://www.nextgov.com/cybersecurity/2015/12/has-government-paid-hackers-remove-malware-agency-computers/124227/). Así sucedió la pasada primavera en la oficina del sheriff del condado de Lincoln, que pagó 300 dólares. También cayó el ayuntamento de Illinois: 606 dólares.

Todos los expertos en seguridad recomiendan de forma unánime no pagar el rescate. Porque alienta el delito y porque no siempre tiene un final feliz: los datos pueden haberse dañado y ser inservibles incluso descifrados, o bien los delincuentes pueden mandar programas con más virus, o simplemente podemos pagar el rescate y no tener respuesta. A pesar de ello, un representante del FBI recomendaba recientemente en público pagar el rescate en los casos más apurados (https://securityledger.com/2015/10/fbis-advice-on-cryptolocker-just-pay-the-ransom/).

Y es que, repetimos, la situación está totalmente fuera de control. Se rumorea que tras Cryptowall habría un grupo de criminales informáticos de élite. Abudan los negocios llamados "ransomware-como-servicio", donde los autores de estos virus los venden a otros delincuentes, que realizarán las infecciones y cobrarán por ellas. A cambio, los autores se llevan una comisión que en el caso de Chimera es del 50%, la más cara (http://www.darkreading.com/endpoint/chimera-ransomware-trying-to-recruit-more-operators-from-victim-pool/d/d-id/1323401).

Este tipo de servicios están explosionando ahora mismo en el mercado negro. Hace un par de semanas se informaba de la puesta en marcha del CryptoLocker Service (http://www.csoonline.com/article/3004594/cyber-attacks-espionage/new-ransomware-business-cashing-in-on-cryptolockers-name.html) que pide a sus clientes una entrada de 50 dólares para acceder a las funcionalidades básicas de este ransomware. Cuando alguien paga el rescate, el autor del virus cobra en este caso un 10%. Según declaró él mismo a la prensa, "es mejor ser menos caro porque más gente descargará tu producto y habrá más infecciones". Puro capitalismo. Los hay que incluso tiene servicio de atención al cliente.

El interés en ampliar mercado azuza la galopante evolución del ransomware. Aparecen nuevas muestras que atacan a los usuarios de Mac/OSX, siendo Mabouia (https://www.virustotal.com/en/file/f4818a2420f53ff90c7232a730a576565311917fd6c72030b26100baf4eac79f/analysis/) la amenaza más seria. Otro amplio frente son los servidores web Linux, especialmente los dedicados al comercio electrónico. Un nuevo ransomware dirigido a este segmento (https://blog.malwarebytes.org/security-threat/2015/11/new-website-ransomware-variant-demands-999/) es el más prometedor y con el rescate más abultado: 999 dólares.

Y no acaba aquí la cosa porque ya existe ransomware para smartphones Android (https://kasperskycontenthub.com/securelist/files/2014/07/201407_Koler.pdf), televisiones inteligentes (http://news.softpedia.com/news/ransomware-on-your-tv-get-ready-it-s-coming-496685.shtml), smartwatches (http://thehackernews.com/2015/08/ransomware-android-smartwatch.html) y, según un estudio de Forrester, el año que viene veremos ransomware en dispositivos médicos (http://motherboard.vice.com/read/ransomware-is-coming-to-medical-devices).

¿Hasta dónde llegará la peste? Nadie lo tiene muy claro y todos los expertos consultados nos remiten a la única arma que puede salvarnos: la vieja y ya casi olvidada costumbre de hacer copias de seguridad. Constantes. Diarias. En dispositivos que no estén conectados al ordenador porque, si este es infectado, esos también lo serán. "Cuidado con lo que abres", nos avisan en la Unidad de Investigación Tecnológica de la Policia. "Parchea el sistema contra vulnerabilidades conocidas", escribe el experto de la empresa Eleven Paths, Sergio de los Santos (http://blog.elevenpaths.com/2015/11/ransomware-para-linux-algunas.html). Instala Anti-Ransom y un bloqueador de anuncios, añadimos nosotros.



Mercè Molist