Una historia de ransomware: donde empezó y dónde se va

Vídeo: Tilly Trotter (1999) [Catherine Cookson]▪[Sub.Еspañol]

Ransomware es un tipo de malware que impide el acceso normal a un sistema o archivos, a menos que la víctima paga un rescate. La mayoría de la gente está familiarizada con las variantes cripto-ransomware, donde los archivos están encerradas en la encriptación indescifrable, pero el paradigma es en realidad mucho mayor que eso.

De hecho, el ransomware se remonta casi diez años. Al igual que muchas amenazas a la seguridad informática, que se originó en Rusia y los países limítrofes. Desde su primer descubrimiento, ransomware ha evolucionado hasta convertirse en una amenaza cada vez más potente, capaz de extraer rescates cada vez más grandes.

Ransomware principios: Desde Rusia con odio

Los primeros ejemplares ransomware fueron descubiertos en Rusia entre 2005 y 2006. Estos fueron creados por los delincuentes organizados rusos, y dirigidos en gran medida a las víctimas rusas, así como los que viven en los países nominalmente rusófona vecinos como Bielorrusia, Ucrania y Kazajstán.

RussianRansomware

Una de estas variantes ransomware se llamaba TROJ_CRYZIP.A. Esto fue descubierto en 2006, mucho antes de que el término fue acuñado. Se mecaniza en gran medida afectados que ejecutan Windows 98, ME, NT, 2000, XP y Server 2003. Una vez descargado y ejecutado, sería identificar los archivos con un cierto tipo de archivos y moverlos a una carpeta ZIP protegido por contraseña, haber suprimido el originales. Para la víctima para recuperar sus archivos, que tendrían que transferir $ 300 a una cuenta de E-Gold.

E-Gold puede ser descrito como un predecesor espiritual para BitCoin. Una moneda digital anónima, basado en el oro que fue administrado por una empresa con sede en Florida, pero registrado en Saint Kitts y Nevis, que ofrecía relativo anonimato, pero rápidamente se convirtió favorecido por el crimen organizado como un método para el blanqueo de dinero sucio. Esto llevó al gobierno estadounidense a suspenderlo en 2009, y la empresa cerró poco después.

ransomware variantes posteriores utilizarían cripto-monedas anónimas como Bitcoin, tarjetas de débito prepagadas, e incluso los números de teléfono de tarificación adicional como forma de pago.

TROJ_RANSOM.AQB es otra variante ransomware identificado por Trend Micro en 2012. Su método de infección fue la de sustituir el Master Boot Record (MBR) de Ventanas con su propio código malicioso. Cuando el ordenador arranca, el usuario podría ver un mensaje de rescate escrita en ruso, que exigía que la víctima pagar 920 Grivna ucraniana a través QIWI - un sistema basado en Chipre, de propiedad rusa pagos. Cuando se pagan, la víctima obtendría un código, que les permita recuperar su ordenador a la normalidad.

MBR_Ransomware

Con muchos de los operadores de ransomware identificados se identificaron como de Rusia, se podría argumentar que la experiencia adquirida en la orientación al mercado nacional los ha hecho más capaces de dirigirse a usuarios internacionales.

Parar, policía!

Hacia el final de la década de 2000 y el inicio de la década de 2010, ransomware cada vez se reconoce como una amenaza para los usuarios internacionales. Pero todavía quedaba un largo camino por recorrer antes de que homogeniza en la variante potente, cripto-ransomware que vemos hoy.

Alrededor de este tiempo, se convirtió en común para ransomware se haga pasar por aplicación de la ley con el fin de extraer los rescates. Ellos acusan a la víctima de haber participado de un crimen - que van desde la simple infracción de derechos de autor, a la pornografía ilegal - y decir que su equipo está bajo investigación, y se ha bloqueado.

A continuación, darían a la víctima una opción. La víctima podría optar por pagar una “multa”. Este retiraría los cargos (inexistente), y devolver el acceso al ordenador. Si la víctima ha retrasado, la multa se duplicará. Si la víctima se negó a pagar en su totalidad, el ransomware amenazaría con arresto, juicio y encarcelamiento potencial.

La variante más ampliamente reconocida de ransomware policía fue REVETON. Lo que hizo REVETON tan eficaz fue que utiliza la localización de parecer más legítimo. Iba a salir donde el usuario se basa, y luego hacerse pasar por la aplicación de la ley local relevante.

RevetonFrance

Por lo tanto, si la víctima se basó en los Estados Unidos, la nota de rescate parece ser del Departamento de Justicia. Si el usuario era italiano, sería adoptar el estilo de la Guardia de Finanzas. usuarios británicos verían un mensaje de la Policía Metropolitana de Londres o policía de Strathclyde.

Los fabricantes de REVETON cubiertas todas sus bases. Fue localizada para prácticamente todos los países europeos, así como Australia, Canadá, Nueva Zelanda y Estados Unidos. Pero tenía un defecto. Ya que no cifrar los archivos del usuario, podría ser retirado sin ningún efecto adverso. Esto podría lograrse con un live-CD antivirus, o mediante el arranque en modo seguro.

Cryptolocker: El primer gran Crypto-ransomware

Cripto-ransomware no tiene ese defecto. Se utiliza el cifrado casi irrompible para sepultar los archivos del usuario. Incluso si se elimina el malware, los archivos permanecen bloqueados. Esto pone una enorme presión sobre la víctima a pagar.

Cryptolocker fue el primer cripto-ransomware ampliamente reconocible, y apareció hacia el final de 2013. Es difícil estimar la magnitud de los usuarios infectados con algún grado de precisión. ZDNet, una revista de tecnología altamente respetado, trazó cuatro direcciones bitcoin utilizados por el malware, y descubrió que recibieron alrededor de $ 27 millones en pagos.Cryptolocker es el más asqueroso malware siempre & Esto es lo que puede hacerCryptolocker es el más asqueroso malware siempre & Esto es lo que puede hacerCryptolocker es un tipo de software malicioso que hace que su ordenador totalmente inutilizable mediante el cifrado de todos los archivos. A continuación, exige un pago monetario antes de devolver el acceso a su computadora.Lee mas

cryptolocker-ejemplo

Se distribuye a través de adjuntos de correo electrónico infectados, que se propagan a través de amplias redes de spam, así como a través de la red de bots Gameover Zeus. Una vez que se ha puesto en peligro un sistema, entonces sería cifrar de manera sistemática los archivos de documentos y medios de comunicación con una fuerte criptografía de clave pública RSA.

La víctima tendría entonces un corto período de tiempo para pagar un rescate de $ 400 USD o € 400 euros, ya sea a través de Bitcoin, oa través de GreenDot MoneyPak - un sistema de cupones pre-pago preferido por los ciberdelincuentes. Si la víctima no pagar en el plazo de 72 horas, los operadores amenazaron con eliminar la clave privada, lo que hace imposible el descifrado.

En junio de 2014, se tomaron los servidores de distribución cryptolocker por una coalición de académicos, proveedores de seguridad, y las fuerzas del orden en la Operación Tovar. Dos vendedores - FireEye y Fox-IT - fueron capaces de acceder a una base de datos de claves privadas utilizadas por cryptolocker. A continuación, dio a conocer un servicio de lo que permitió a las víctimas para descifrar sus archivos de forma gratuita.Cryptolocker es muerto: He aquí cómo usted puede conseguir los archivos de nuevo!Cryptolocker es muerto: He aquí cómo usted puede conseguir los archivos de nuevo!Lee mas

Aunque cryptolocker fue de corta duración, que definitivamente demostró que el modelo de cripto-ransomware podría ser muy lucrativo, y dio lugar a una carrera de armas digitales cuasi. Mientras que los proveedores de seguridad preparados mitigación, los delincuentes liberados variantes ransomware cada vez más sofisticados.

Vídeo: EL PEOR CANTANTE DE LA HISTORIA

TorrentLocker y CryptoWall: ransomware se vuelve más inteligente

Una de estas variantes mejoradas ransomware fue TorrentLocker, que surgió poco después de la caída de cryptolocker.

Esta es una forma bastante peatonal de cripto-ransomware. Como la mayoría de las formas de cripto-ransomware, su vector de ataque es maliciosos adjuntos de correo electrónico, especialmente los documentos de Word con macros maliciosas. Una vez que una máquina está infectada, se cifrará la habitual variedad de medios de comunicación y archivos de oficina mediante el cifrado AES.Cómo protegerse de malware de Microsoft WordCómo protegerse de malware de Microsoft Word¿Sabías que el equipo puede estar infectado por maliciosos documentos de Microsoft Office, o que usted podría ser engañado para permitir los ajustes necesarios para infectar su computadora?Lee mas

La mayor diferencia fue en las notas de rescate que se muestran. TorrentLocker exhibiría el rescate requerido en moneda local de la víctima. Por lo tanto, si la máquina infectada se basó en Australia, TorrentLocker exhibiría el precio en dólares australianos, pagadero en BitCoin. Sería incluso una lista de intercambios locales Bitcoin.

torrentlocker-buydecryption

Incluso ha habido innovaciones en el proceso de infección y la ofuscación. Tome CryptoWall 4.0, por ejemplo, la última tensión en la familia temida de cripto-ransomware.

Esto ha cambiado la forma en que infecta los sistemas, y ahora cambia el nombre de todos los archivos infectados, evitando así que el usuario determine de lo que ha sido cifrado, y lo que es más difícil restaurar desde una copia de seguridad.

Ransomware apunta ahora a las plataformas de nicho

En su gran mayoría, los objetivos ransomware ordenadores con Windows, y en menor medida los smartphones con Android. La razón por la mayor parte se puede atribuir a la cuota de mercado. Muchas más personas usan Windows que Linux. Esto hace que Windows sea un objetivo más atractivo para los desarrolladores de malware.

Pero en el último año, esta tendencia ha comenzado a revertir - aunque lentamente - y estamos empezando a ver cripto-ransomware está dirigido a los usuarios de Mac y Linux.

Linux.Encoder.1 fue descubierto en noviembre de 2015 por Dr.Web - una importante firma de seguridad cibernética rusa. De forma remota es ejecutado por una falla en el Magento CMS, y cifrar una serie de tipos de archivos (archivos de oficina y medios de comunicación, así como los tipos de archivos asociados con las aplicaciones web) usando un algoritmo AES y RSA criptografía de clave pública. Con el fin de descifrar los archivos, la víctima tendrá que pagar un rescate de un bitcoin.

LinuxEncoder

A principios de este año, hemos visto la llegada del ransomware KeRanger, el cual dirigidos a los usuarios de Mac. Esto tuvo un vector de ataque inusual, ya que entró en sistemas mediante la infiltración de las actualizaciones de software de transmisión - un popular y legítimo cliente BitTorrent.Lo Seguridad Amenazas Los usuarios de Mac Cara En el año 2016?Lo Seguridad Amenazas Los usuarios de Mac Cara En el año 2016?Merecía o no, Mac OS X tiene una reputación de ser más seguro que Windows. Pero aún así se merecía que la reputación? ¿Qué existen amenazas a la seguridad para la plataforma de Apple, y cómo están afectando a los usuarios?Lee mas

Aunque la amenaza de ransomware a estas plataformas es pequeño, es innegable que es cada vez mayor y no puede ser ignorada.

El futuro de ransomware: Destrucción como un Servicio

Así pues, qué el futuro de ransomware parece? Si tuviera que ponerlo en palabras: marcas y franquicias.

En primer lugar, vamos a hablar de franquicias. Una tendencia interesante ha surgido en los últimos años, en el sentido de que el desarrollo de ransomware se ha vuelto increíblemente consumo masivo. Hoy en día, si usted se infecta con ransomware, es totalmente plausible que la persona que la haya distribuido, no es la persona que lo creó.

Luego está la marca. Mientras que muchas cepas ransomware han ganado reconocimiento de nombre para el poder destructivo que poseen, algunos fabricantes tienen el objetivo de hacer que sus productos como anónimo y genérico posible.

Vídeo: La historia de Neymar

El valor de un ransomware marca blanca es que puede ser renombrado. A partir de una cepa principal ransomware, cientos más pueden surgir. Es quizás esto por lo que en el primer trimestre de 2015, más de 725.000 muestras ransomware se recogieron por McAfee Labs. Esto representa un aumento trimestral de casi el 165%.

Parece muy poco probable que las fuerzas del orden y de la industria de la seguridad serán capaces de contener esta marea creciente.

¿Ha sido golpeado por ransomware? Pagaste hacia arriba, perderá sus datos, o es propietario de superar el problema de otra manera (tal vez una copia de seguridad)? decirnos al respecto en los comentarios!

Artículos Relacionados