Los ataques tipo ransomware vivieron su punto álgido. Ahora, parece que vuelven a repuntar con nuevas tácticas y tecnologías que marcarán la era actual del malware. Pero este tipo de rescate no es nuevo.
De hecho, el origen del ransomware data de 1991, fecha en la que un biólogo difundió el llamado PC Cyborg por correo convencional en los antiguos disquetes. Fue ya en el año 2000 cuando se vio el primer ataque de estas características con cifrado. Y, en la década de 2010 se empezaron a utilizar las criptomonedas como divisa para el pago de los rescates, introduciendo anonimato y eliminando todo rastro de los ciberdelincuentes que se encontraban detrás de la infección.
Hace escasos dos años, decíamos, el ransomware estuvo a punto de desaparecer en favor del cryptojacking, una técnica mucho más depurada y limpia que consiste en minar criptomonedas utilizando los recursos energéticos de equipos externos. Sin embargo, la industria del cibercrimen ha caído en la cuenta de que el ransomware puede ser mucho más útil para sus intenciones.
No obstante, este tipo de amenazas requieren de más sofisticación, no necesariamente en términos del código del ransomware en sí, sino en las habilidades que necesitan los atacantes para infiltrarse en sistemas cada vez mejor protegidos para instalar el virus.
Estas son las cinco familias de ransomware a temer y tener en cuenta este año:
SamSam
Los ataques conocidos como SamSam comenzaron a aparecer a finales de 2015, pero sus capacidades han ido en aumento. Entre sus víctimas destacadas se encuentran la ciudad de Atlanta (Estados Unidos) y numerosos centros médicos del país norteamericano. SamSam no busca indiscriminadamente alguna vulnerabilidad específica, como lo hacen algunas otras variantes, sino que funciona en modo ‘ransomware como servicio’.
Una vez dentro del sistema, los atacantes trabajan diligentemente para escalar los privilegios y asegurarse de que cuando comiencen a cifrar archivos, el ataque sea particularmente dañino.
Ryuk
Ryuk es otra variante específica de ransomware que ha causado estragos durante el año pasado. Sus víctimas fueron elegidas específicamente, como empresas a las que les resulte muy crítico sufrir una brecha de disponibilidad.
Entre éstas se encuentran medios de comunicación o infraestructuras críticas. Una característica particular de Ryuk es que puede deshabilitar la opción de restauración del sistema Windows en las computadoras infectadas, lo que hace que sea aún más difícil recuperar la información cifrada sin pagar un rescate.
PureLocker
PureLocker es una nueva variante que ha operado en sistemas Windows y Linux. Es un buen ejemplo de la nueva ola de malware dirigido. En lugar de echar raíces en las máquinas a través del phishing de alto alcance, éste se asocia con un malware de puerta trasera para instalarse en equipos que ya han sido comprometidos y que sus atacantes comprenden bien para luego realizar los cifrados que se considere oportunos.
Zeppelin
Zeppelin es un descendiente evolutivo de la familia conocida como Vega o VegasLoker, una oferta de ransomware como servicio que causó estragos en las firmas de contabilidad en Rusia y Europa del Este. Zeppelin tiene algunos tuscos técnicos, especialmente cuando se trata de configurabilidad. Pero lo que le hace destacar es naturaleza específica: no se ejecuta en sistemas procedentes de Rusia, Ucrania, Bielorrusia o Kazajistán.
Revil/ Sodinokibi
Este ransomware nació en abril de 2019. También cuenta con un código que le impide esparcirse por Europa del Este, lo que indica que su origen se encuentra en estas regiones. Tiene varios métodos de propagación, incluida la explotación de agujeros en los servidores Oracle WebLoogic o Pulse Connect Secure VPN.
NotiVeraz