El ransomware se ha convertido en una de las herramientas más conocidas de los ciberdelincuentes. Desde el grupo naviero internacional paralizado por el cifrado de sus herramientas de producción hasta la muerte de un paciente en un traslado entre hospitales alemanes, el ransomware ha demostrado su capacidad para perturbar cualquier empresa y comunidad, independientemente de su tamaño y nivel de seguridad. Pero ¿cómo hemos pasado en 30 años de un programa malicioso en un disquete que pedía cien dólares de rescate a una verdadera industria criminal estructurada de miles de millones de dólares?
Un vistazo a la historia y la evolución del fenómeno de los ransomware.
La génesis de los ransomware (1989-2006)
Al contrario de lo que se suele creer, el primer ransomware no apareció con Internet. La (triste) historia de estos programas maliciosos comenzó a finales de la década de 1980, con el único propósito de bloquear el funcionamiento de puestos de trabajo. De este modo, afectaban a particulares y empresas con microordenadores. En 1989, el «troyano AIDS» fue el primer ransomware de la historia de la informática. En un contexto de preocupación por la aparición del virus del SIDA, el biólogo Joseph L. Popp envió 20 000 disquetes con información sobre la enfermedad a grupos de pacientes, instituciones médicas y particulares de 90 países. Pero, aunque el disquete contenía información sobre este tema, también contenía un virus que cifró los archivos de la máquina infectada después de un cierto número de reinicios. Para recibir el software descodificador, las víctimas tuvieron que pagar un rescate de 189 dólares. Todavía se desconoce el número de máquinas que se vieron afectadas, pero Joseph Popp fue detenido por el FBI antes de ser declarado psicológicamente incapaz de ser juzgado.
A pesar de este golpe, los ataques DDoS y los gusanos acapararon toda la atención en tiempos posteriores. Ello se debe a que el ransomware podía ser rastreado con relativa facilidad a partir de la información de pago. Por tanto, los siguientes ransomware tardarían casi 15 años en aparecer, con la llegada de las monedas digitales y, posteriormente, de las criptomonedas, que permitieron una mayor fluidez en los pagos de los rescates y en los cambios de moneda, así como un cierto anonimato. Estos ransomware solo tenían una función: sabotear los datos cifrando todos los archivos del disco sin afectar al funcionamiento del propio sistema operativo. Así, el usuario víctima tenía acceso a su sistema operativo sin poder utilizar ninguno de los archivos presentes. En 2005, PGPCoder (o Gpcode), apodado el ransomware de los 20 dólares, fue uno de los primeros ejemplos de ransomware distribuido online. Su objetivo era infectar los sistemas Windows dirigiéndose a archivos que contenían extensiones de uso común como .rar, .zip, .jpg, .doc o .xls. En 2006, el ransomware Archievus aumentó la dificultad de los intentos de descifrado adoptando el algoritmo de cifrado RSA mediante un mecanismo asimétrico de clave pública y clave privada. Al dirigirse al contenido personal de los usuarios almacenado en el archivo «Mis Documentos» de Microsoft Windows, este ransomware depositaba un archivo titulado «how to get your files back.txt» en la misma carpeta. Los analistas y expertos en ciberseguridad descubrieron más tarde que la misma contraseña de 38 caracteres podía utilizarse para descifrar cualquier archivo infectado («mf2lro8sw03ufvnsq034jfowr18f3cszc20vmw», no tan fácil de adivinar...). El ransomware Archievus perdió entonces su poder de extorsión.
Mayor difusión de ransomware con la adopción de Internet (2007-2013)
En la primera mitad de la década de los 2000, la adopción de Internet creció sin cesar, acercándose a un nivel del 87 % de estadounidenses conectados a finales de 2014. Mensajería, redes sociales, foros, redes peer-to-peer... Esta es la base sobre la que el ransomware WinLock y sus variantes se distribuyeron ampliamente desde 2011 hasta 2014. Su particularidad era que no cifraba los datos del ordenador infectado, sino que este ransomware tenía la función de bloquear el acceso a la máquina mostrando una ventana que contenía una foto pornográfica y una solicitud de pago mediante un servicio de SMS. Denominado «Locker», esta primera evolución del ransomware tenía como objetivo bloquear el inicio del sistema operativo.
Tras este ataque exitoso, aparecieron variantes que usurpaban la imagen de las fuerzas de seguridad. Este fue el caso del ransomware Reveton, en 2012, que se hizo pasar por el FBI bloqueando los ordenadores de sus víctimas y exigiendo el pago de una multa de 200 dólares. Este ransomware se distribuyó ampliamente en plataformas peer-to-peer o sitios pornográficos. Así, los internautas pagaban rápidamente para evitar cualquier represalia relacionada con la infracción de los derechos de autor o la distribución de contenidos pornográficos. A partir de entonces, las solicitudes de rescate pasaron a ser cada vez más creativas para aumentar sus posibilidades de pago.
Las primeras revoluciones tecnológicas del ransomware (2013-2016)
El año 2013 marcó un punto de inflexión tecnológico con el ransomware CryptoLocker y su servidor de mando y control controlado por el atacante. «Con el uso de un servidor de mando y control, el grupo atacante puede hablar con la víctima, negociar, ampliar o reducir el plazo antes de la destrucción de los datos. Tienen la capacidad de ejercer una presión adicional sobre la víctima y aumentar sus posibilidades de pago», explica Pierre-Olivier Kaplan, ingeniero de investigación y desarrollo de Stormshield. En paralelo a las campañas masivas lanzadas a ciegas, los ciberdelincuentes pueden conducir a distancia las cargas de virus en las máquinas infectadas mientras negocian con las víctimas. Esta nueva estrategia dio sus frutos, ya que CryptoLocker generó 27 millones de dólares en sus dos primeros meses de funcionamiento. También hay que señalar que se trata de uno de los primeros programas de ransomware que solicitaba un rescate en bitcóin.
En 2014, el frente de ataque se amplió con los primeros ataques a tabletas y móviles Android. Los ransomware SimpleLocker y Sypeng se propagaban a través de falsos mensajes de actualización del software Adobe Flash. Al año siguiente, los usuarios de los sistemas operativos Linux fueron el objetivo del ransomware Encoder.
En 2016, Petya allanó el camino para los ataques de phishing al dirigirse a las direcciones de correo electrónico de las empresas. Oculto en un documento de Word o PDF, la propia víctima activa el ransomware al abrir el archivo (esto se denomina detonación de la carga maliciosa). Este ransomware no solo bloquea el acceso a determinados archivos, sino que también bloquea todo el disco duro al cifrar la tabla maestra de archivos. Una calavera roja aparece en la pantalla para pedir el rescate. Más allá del efecto psicológico sobre las víctimas, esta materialización gráfica del ransomware se comunicó por parte de los medios de comunicación tradicionales y concienció al público general sobre la ciberamenaza.
La aparición de ataques estatales con un alcance mundial (2017-2018)
Los años 2017-2018 marcaron un nuevo punto de inflexión en la propagación de los ciberataques. Gracias a la publicación de vulnerabilidades Zero Day robadas a una agencia gubernamental estadounidense, los ataques de ransomware presentaban entonces la capacidad técnica de propagarse masivamente de una empresa a otra cuando las redes coexistían.
En 2017, WannaCry fue posiblemente el ransomware del que más se habló. En pocas semanas, afectó a 300 000 ordenadores en 150 países al propagarse a los sistemas operativos Microsoft Windows a través de la vulnerabilidad EternalBlue. Al mostrar la famosa calavera en sus pantallas, las empresas vieron cómo el ransomware se propagaba de un sitio a otro en cuestión de minutos. Para Nicolas Caproni, responsable del equipo de investigación y detección de amenazas (TDR) de SEKOIA.IO, «WannaCry se lanzó probablemente demasiado pronto. Debido a su carácter de movimiento lateral, sus autores perdieron el control del ransomware, que infectó al mayor número posible de máquinas». Con cientos de miles de empresas víctimas de este ransomware y ante su propagación incontrolada, las empresas invirtieron masivamente en productos de copias de seguridad y recuperación de datos. En respuesta, los ciberdelincuentes también empezaron a atacar los puntos de copia de seguridad con el fin de eliminarlos. Así, se aseguraban de que los datos no podían restaurarse si no se pagaba el rescate.
Utilizado posteriormente en un contexto de conflicto estatal entre Rusia y Ucrania, el ransomware NotPetya tuvo la particularidad de reutilizar elementos iniciales de WannaCry, como la explotación de las vulnerabilidades EternalBlue y EternalRomance, así como el movimiento lateral, dos vulnerabilidades robadas unos meses antes a la NSA. Si bien Microsoft había publicado un parche unas semanas antes, este ransomware demostró la incapacidad de los administradores de actualizar sus sistemas con celeridad para hacer frente a este ataque. No obstante, «el ransomware era solo una fachada», según Pierre Olivier Kaplan. «El verdadero objetivo de NotPetya no era la extorsión, sino la destrucción de datos y a muy gran escala al dirigirse a todo un país. Estas graves implicaciones geopolíticas quedan reflejadas aún más hoy, ya que NotPetya, atribuido a grupos de cibercriminales rusos, tuvo como objetivo Ucrania». Al borrar los datos, este ransomware se utilizó no como medio de extorsión para obtener fondos, sino como arma de destrucción digital. Este ransomware también camufló intentos de sabotaje del metro ucraniano, el aeropuerto de Kiev, la central nuclear de Chernóbil, el banco central y el operador nacional de energía. A finales de 2018, el Gobierno estadounidense estimó los daños atribuidos a estos dos ataques en más de 10 000 millones de dólares, según Cyber Cover.
La era del Big Game Hunting (2019-2021)
El número de incidentes de ransomware aumentó un 365 % a finales de 2019. Para no ser detectados por las herramientas de seguridad, los ciberdelincuentes están optando por no lanzar campañas a gran escala, como fue el caso de WannaCry, y prefieren dirigirse a grandes empresas. Denominada «big game hunting», esta nueva estrategia hace referencia a un modo de funcionamiento basado en el reconocimiento del entorno del objetivo y el desarrollo de escenarios de ataque avanzados. Los grupos de atacantes estudian entonces su objetivo para adaptar su demanda de rescate, como explica Nicolas Caproni: «Los estudios demuestran que los grupos de atacantes se informan sobre su objetivo. Por ejemplo, pueden exfiltrar documentos financieros para comprobar si se ha contratado un seguro cibernético y su cuantía con el fin de aumentar sus posibilidades de obtener el pago del rescate. Algunos grupos tienen incluso personas dedicadas al análisis y la negociación». Esta nueva estrategia dio sus frutos, ya que la demanda media de rescate se triplicó durante este periodo, pasando de 13 000 à 36 000 dólares.
Fue durante este periodo cuando se introdujo el mecanismo de doble extorsión. Este mecanismo era sumamente poderoso, ya que la empresa afectada no solo era víctima de la petición de rescate, sino que también se veía amenazada con la reventa de sus datos en la darknet. Así, revelar parte de los datos críticos robados podía ser decisivo para convencer a las empresas contrarias de que pagasen el rescate, la mayoría de las veces en forma de código fuente o datos de clientes. Y el mecanismo afectaba incluso a los clientes (o pacientes) de las organizaciones afectadas, ya que algunos ciberdelincuentes amenazaban incluso con divulgar los datos personales robados. En octubre de 2020, fueron los pacientes de un centro de psicoterapia en Finlandia a los que les tocó esta amarga experiencia... Entre los primeros en utilizar este nuevo mecanismo fue el grupo de ciberdelincuentes presuntamente responsable de los ransomware Maze y Egregor. Más allá del aspecto técnico del ransomware, este grupo se caracterizaba por una comunicación constante con sus víctimas en forma de presiones para que paguen en poco tiempo y con amenazas de revelar datos. Esta estrategia resultó exitosa, ya que a finales de noviembre de 2020, se contabilizaron 300 empresas víctimas del ransomware Maze. Unos meses más tarde, las campañas de Egregor se cobraron más de 200 empresas víctimas y una media de 700 000 dólares en rescates por víctima, según ZDNet. El mecanismo de divulgación de datos fue asumido posteriormente por Sodinokibi, por encargo del grupo REvil.
En 2020, la técnica «big game hunting» se intensificó con Darkside, que técnicamente se asemejaba a REvil, con el ataque al gigante estadounidense de transporte y distribución de petróleo Colonial Pipeline. Se exigió un rescate de 5 millones de dólares. Al año siguiente, el FBI informó de la incautación de 2,3 millones de dólares en dinero de rescates en equivalente de bitcóin tras una operación a gran escala contra el mismo grupo. En marzo de 2021, el fabricante Acer recibió una solicitud de rescate de una cantidad récord de 50 millones de dólares. En mayo de 2021, el proveedor de soluciones informáticas Kaseya fue la víctima, algo que afectó a más de 1500 de sus clientes. El rescate exigido esta vez fue de 70 millones de dólares.
Hacia la estructuración de la ciberdelincuencia (2021-2022)
Una de las últimas revoluciones en el modus operandi de los ciberdelincuentes ha sido la aparición de plataformas de ransomware-as-a-service (RaaS). Esto brinda a los grupos de atacantes menos experimentados la oportunidad de acceder a una infraestructura completa y beneficiarse de campañas de ransomware listas para desplegarse. Las plataformas alquilan sus soluciones maliciosas y también pueden cobrar un porcentaje del rescate de las víctimas. Algunos grupos de atacantes que han invertido en la investigación y el desarrollo de ransomware crean después franquicias para comercializar su ransomware a otros grupos delictivos. Este es el caso de la franquicia de ransomware Conti. Este grupo forma a perfiles junior, les ofrece un salario fijo y un plan de participación en los beneficios.
Según Pierre-Olivier Kaplan, el éxito de las plataformas de ransomware-as-a-service también está dando lugar a la sofisticación del malware: «A finales de 2010, el ransomware mostraba una tendencia de declive, dado que el pago de los rescates no era seguro y podía rastrearse hasta las redes criminales. Con la proliferación y la llegada de las criptomonedas, que permiten cierto anonimato en los pagos de rescates, las transferencias de dinero se han convertido en algo casi «seguro» para los grupos de atacantes. Además, entre 2010 y 2020, se han logrado mejoras en los mecanismos de propagación. Ya sea Lockbit, DarkSide o Laspus$, son extremadamente sofisticados. Se benefician de toda esta década de mejora continua en sus mecanismos de replicación, sus mecanismos de comunicación con un servidor de control y de todas sus actividades auxiliares, que son el robo de datos. En los últimos años, los objetivos han seguido siendo los mismos. No obstante, van cada vez más lejos en sus métodos de gestión y ejecución. Como resultado, el ransomware se ha democratizado en gran medida».
En 2021, el papel de los intermediarios de acceso inicial (IAB) hizo acto de presencia en el panorama cibernético. Especializados en la intrusión en empresas y en la obtención de accesos iniciales, proporcionan acceso a las redes corporativas para que otros grupos maliciosos las utilicen para sus propios ataques. El compromiso de credenciales, los ataques de fuerza bruta y la explotación de vulnerabilidades son los medios por los que estos revendedores de acceso inicial obtienen el acceso. «Como los operadores de ransomware han pasado a ser los socios más fiables de los IAB, actúan como compradores de puertas traseras y delegan así la primera fase de sus intrusiones», analiza Nicolas Caproni. Los actores del ransomware tuvieron acceso a más de 1000 listas de acceso puestas a la venta por los IAB en el segundo semestre de 2021, según un estudio de SEKOIA.IO. Este nuevo papel entre los grupos de atacantes representa una amenaza tan importante como el propio ransomware. «Los intermediarios de acceso inicial y la reventa de acceso representan el negocio previo del ransomware», continúa Nicolas Caproni. Se trata de una gran amenaza. «Por último, para limitar el ransomware, sería necesario perturbar a los IAB para que dejen de tener puertas traseras para infiltrarse en las organizaciones».
El ransomware: ¿una historia interminable? La lista de ransomware es ya bastante larga, hasta el punto de que, a día de hoy, las autoridades francesas rastrean nada menos que 120 familias diferentes de ransomware. Y, con la aparición de nuevas tecnologías (Web3, NFT, movilidad autónoma), así como el regreso de los conflictos geopolíticos, cabe esperar nuevas formas de ciberamenazas. Por tanto, la historia del ransomware está (desgraciadamente) lejos de terminar.
