¿Por qué funciona el ransomware?

Psicología y métodos utilizados para distribuir, infectar y extorsionar.

Publicado el 04 Jul 2016

16873_49

En mayo de 2016, los investigadores descubrieron un sitio de la Dark Web llamado The Hall of Ransom, al que se puede tener acceso a través de la red Tor, y que asegura tener una línea de productos y servicios relacionados con el ransomware que se venden a elevados precios.

Trend Micro explica por qué el ransomware está teniendo tanto éxito y las técnicas más empleadas para maximizar su distribución, el grado de infección y, especialmente, la extorsión con el consiguiente pago del rescate.

El sitio ofrecía al célebre Locky por 3.000 dólares, una variante que se calcula infectó 90.000 equipos diarios en febrero. Además de vender variantes de ransomware, The Hall también anunció la disponibilidad de una solución que se describe como una unidad USB que supuestamente se vende por 1.200 dólares, un ‘antídoto’ único y que no puede copiarse, que promete liberar los archivos que Locky ha encriptado en las máquinas infectadas que corren sobre Linux o Windows. El sitio también presenta lo que se le ha denominado un ‘ransomware de nueva generación’ llamado Goliath que puede comprarse por 2.100 dólares. Se ha descubierto que Goliath tiene un código abierto que se deriva de Locky, y que se ofrece a los ‘novatos’ que están considerando entrar al negocio del crimen cibernético.

Locky se suma a la creciente lista de variantes de ransomware que se han convertido en productos viables en los mercados clandestinos o underground. Anteriormente, otras familias como Petya, Mischa, Cerber y ORX-Locker se han ofrecido en la modalidad de ransomware como servicio (RaaS). En este modelo de distribución, los desarrolladores de malware transfieren el ransomware a asociados que distribuyen el malware, y se paga a los desarrolladores una comisión por cada rescate que pagado. Que el ransomware se haya convertido en un modelo de negocio lucrativo sólo significa una cosa: funciona.

Si bien el descubrimiento del sitio dedicado a ransomware llevó a los investigadores y analistas a creer que se trataba de una estafa diseñada para engañar a los estafadores, las reivindicaciones las declaraciones audaces del sitio eran una señal reveladora, sacar esta plataforma específica de la clandestinidad confirma el nivel de interés que los criminales tienen por el ransomware y explica su actual explosión.

Descargue la infografía: “la evolución del ransomware

La psicología detrás del ransomware

Al dividirla en etapas, la operación del ransomware es simple: encontrar una manera de infiltrarse a la máquina de una víctima, bloquear el sistema o los archivos críticos que se encuentran en ella, y forzar a la víctima para pagar el rescate. Con los años, el ransomware se ha convertido en una amenaza electrónica muy efectiva que no sólo “aterroriza” a sus posibles víctimas con una pantalla bloqueada, sino que también conoce los puntos débiles de sus objetivos. Al igual que un estafador que estudia cuidadosamente a su víctima, el ransomware busca de manera consistente los temores de su víctima para lograr una estratagema de extorsión efectiva.

A finales de 2015, las Predicciones de Seguridad de Trend Micro para 2016, denominaron a éste el año de la extorsión online, diciendo que: “En 2016, las amenazas online evolucionarán para depender más del dominio de la psicología detrás de cada estratagema que del dominio de los aspectos técnicos de la operación. Los atacantes seguirán utilizando el temor como el principal componente, ya que ha demostrado ser efectivo en el pasado”.

Trend Micro 2016 Security Predictions

Cuando se detectaron por primera vez y se categorizaron como scareware que bloquea las máquinas de los usuarios, las primeras variantes de ransomware aprovechaban el temor de la víctima de perder el acceso al equipo infectado, obligándolos a pagar un rescate en lugar de encontrar una solución alternativa. Los Troyanos Policiales (como Reveton) infundían temor entre sus víctimas al hacerse pasar por notificaciones legítimas por violación de las leyes estatales para hacer que los usuarios pincharan en un enlace infectado. Esto preparaba el terreno para un malware más evolucionado y sofisticado que, denominado como crypto-ransomware, iba tras los datos de la víctima para secuestrarlos.

Puesto que el ransomware evoluciona y avanza constantemente en cuanto a sus características, las tácticas de distribución y las demandas de rescate, el temor ha permanecido como el mayor factor de su éxito. Conocer la psique de la víctima ha contribuido enormemente a la propagación y a la efectividad del ransomware.

Los criminales que utilizan el ransomware han duplicado sus esfuerzos para ampliar efectivamente su alcance. La ingeniería social sigue funcionando para beneficio de los secuestradores de datos, pero ahora en un ámbito mucho más amplio. En mayo de 2016, Perezhilton.com enfrentó una vez más un problema de ciberseguridad después de que el sitio pasara de contener “cotilleos” de Hollywood a desplegar anuncios infectados que llevaron a sus cientos de miles de lectores a un gateway que descargaba el ransomware CryptXXX. En su informe, el investigador de seguridad Nick Bilogorskiy dijo, “Después de explotar los navegadores, Angler normalmente baja el malware Bedep que descarga el ransomware CryptXXX e infecta la máquina de la víctima”. El método de distribución utilizado en este caso era más tradicional, pues dependía de un kit de exploits que abusaba de las vulnerabilidades. Pero el uso de un sitio popular comprometido tenía el potencial de afectar a miles de usuarios desprevenidos.

El mismo mes, millones de usuarios de Amazon fueron amenazados por una campaña de phishing que realizaba la descarga del ransomware Locky. El señuelo eran correos fraudulentos que se hacían pasar como mensajes legítimos del gigante del comercio electrónico, enviados por una dirección de correo de amazon.com con un asunto que decía, “Su órden de Amazon.com se ha enviado (#code)” que podía engañar fácilmente a un usuario para que descargara un archivo adjunto que contenía el fichero cargado con malware.

Cuando finalizó mayo, esta misma confianza de los clientes se utilizó en beneficio de los secuestradores de datos cuando una nueva campaña de Torrenlocker utilizó el nombre de un conocido gigante nórdico de las telecomunicaciones, Telia, para propagar malware. Similar a la táctica utilizada para los usuarios de Amazon, los criminales crearon una táctica de ingeniería social para engañar a los usuarios con una factura falsa de la compañía de telecomunicaciones. Una vez que la abrían, el enlace infectado dirigía a las potenciales víctimas a una página web falsa que contenía un código Captcha que, al capturarse, iniciaba la descarga del ransomware.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

C
Redacción Computing

Artículos relacionados

Artículo 1 de 2