¿Cómo funciona el ramsomware?

¿Qué es un ramsomware?

Un ramsomware es un programa (llamado también malware) que una vez ejecutado en el sistema operativo, impide al usuario acceder a sus datos o ejecutar programas y exige un pago en concepto de rescate a fin de poder volver acceder de nuevo a ellos. El pago se exige a través de criptomonedas donde se asegura el anonimato y la imposibilidad de rastrear el pago y en algunos casos (pocos) mediante tarjeta de crédito / débito.

El ramsomware resuena en nuestros días como algo de rabiosa actividad por la cantidad de empresas y particulares afectados, pero la realidad es que no es algo nuevo. A finales de la década de los 80 empezaron a surgir los primeros ramsomware. En aquellos tiempos para poder rescatar la información cifrada, se debía enviar dinero por correo postal.

Historia del ramsomware

Como comentábamos anteriormente el ramsomware, se inició en la década de los 80 (hacia finales). Al igual que los PC’s de la época, los malware o ramsomwares eran también menos complejos. Uno de los primeros ramsomware fue el PC Cyborg Trojan o AIDS (Aids Info Disk). Fue un malware que en la época, modificaba el archivo AUTOEXEC.BAT (Sistema operativo de MS-DOS) y tras 90 reinicios del PC solicitaba una renovación “de la licencia”. Para ello se debía enviar unos 190 $ de la época a un apartado postal en Panamá.

En los años posteriores hubo diferentes variantes, que, si bien eran diferentes, funcionaban de forma muy similar. No obstante, en el año 2006 Win.32 Gpcode usó por primera vez un cifrado tipo RSA de 660 Bit para cifrar ficheros y pedir rescate por ellos tras la evolución propia durante dos años donde pasó de un cifrado propio a usar RSA. Fue un auténtico caos en Rusia y de forma más minoritaria fuera de ella.

El funcionamiento era el siguiente: Se recibía un correo electrónico informando dee la solicitud de un puesto de trabajo junto con un documento anexo en Word. El documento se llamaba anketa.doc (Anketa sería la traducción de formulario de solicitud en Ruso). En realidad en el momento que se ejecutaba el fichero de Word, simultáneamente dentro de éste, un troyano llamado Trojan-Dropper.MSWord.Tored.a se ejecutaba para a su vez instalar otro Downloader.Win32.Small.crb y por último realizar la descarga de Gpcode desde msk.ru/services.txt. Todo un alarde de ingeniería y que sentaría en cierta manera las bases de muchos de los ramsom de hoy en día.

En 2007 llegó WinLock donde bloqueaba el ordenador mostrando imágenes pornográficas y solicitando rescate mediante el envío de SMS. También de origen ruso, se estima que generó unos 16 millones de dólares en pagos…

Entre el 2011 y 2013 surgió una gran oleada a nivel mundial de los nuevos ramsomwares. Éstos, bloqueaban el acceso al ordenador, indicando que un organismo policial (Inicialmente Interpol y FBI) les había denunciado por la descarga de archivos ilegales y posesión de pornografía infantil. La evolución de estos ramsomwares llegó hasta realizarse bajo las policías oficiales de cada país (en España la Policia Nacional y Guardia Civil). Se exigía el pago que podía ir desde los 200 € hasta los 3000€.

En 2013 apareció quizás el ramsomware más conocido a nivel mundial. Cryptolocker. Usando un cifrado complejo, por primera vez utilizó un servidor remoto donde se almacenaban las claves. En aquellos momentos era imposible recuperar la información si no se realizaba el pago. Además, como parte de la extorsión, se facilitaba al usuario la posibilidad de descifrar algún fichero puntual a fin de comprobar que si se podía realizar el proceso de descifrado.

El pago, se debía realizar a través de la red TOR y mediante el uso de criptomonedas (Bitcoin). Criptolocker abrió el camino a la imaginación de los delincuentes para realizar variantes y mejoras.

Otros ramsom conocidos a nivel mundial podrían ser WannaCry, Ryuk entre otros, donde en vez de enviarse aleatoriamente, han sido ramsomwares diseñados para atacar empresas y/o organismos importantes.

Formas más habituales de infección de Ramsomware

El ransomware puede infectar los ordenadores de varias formas. El método por excelencia es el uso de spam malicioso, o malspam, que son mensajes no solicitados que se utilizan para enviar malware por correo electrónico. En ellos se camufla un fichero adjunto que cuando se abre dicho fichero, a su vez se ejecuta internamente el troyano dando acceso a la infección del fichero.

Estos correos, han evolucionado con el tiempo, siendo inicialmente correos recibidos en inglés a posteriormente usar traducciones automáticas. Aun así, ataques dirigidos a diversos países, como por ejemplo España, demostraron que el uso de técnicas de suplantación de identidad funcionaba muy bien.

En memoria de muchos estará los “emails que enviaba correos” o incluso las facturas “erróneas” que enviaba Endesa haciendo creer a muchos miles de personas que los correos eran de origen lícito.

Hoy en día, en una evolución de estos sistemas, se usan en los encabezados nombres y/o remitentes de personas conocidas a fin de que la persona que reciba el correo confíe en dicho documento. 

Otras formas de poder infectar los ordenadores son usando vulnerabilidades en diferentes sistemas operativos. Existen programas que simplemente buscan ordenador a ordenador, vulnerabilidades existentes a fin de poder introducirse en el sistema, ejecutarse y cifrar la información de forma automatizada. Estos sistemas no requieren de intervención por parte del usuario y hasta hace relativamente poco, era la forma más habitual de intervención. No obstante, la concienciación a nivel mundial de la necesidad de estar protegido, dificulta el uso de dichas herramientas.

Sabiendo la importancia del dato y que hoy en día prácticamente todo es digital, muchos de los ataques de ramsomware no son aleatorios. Son ataques dirigidos a empresas y/o organizaciones que o bien tengan capacidad económica para hacer frente a un rescate o dependan de un ente que pueda asumir dicho coste. Para ello, los atacantes, se infiltran en el sistema, analizan y observan latentemente durante un tiempo determinado a fin de poder entender como funciona el sistema, donde se realizan las copias de seguridad, que periodicidad, uso de datos, que servidores tienen más carga de trabajo etc. De esta forma, se aseguran que en el momento de realizar el ataque, consiguen bloquear el acceso a los datos, así como las copias de seguridad, a fin de poder evitar cualquier plan de contingencia.

¿Y si han cifrado los datos con un ramsomware?

En el momento en que nos damos cuenta que los datos han sido cifrados por un ramsomware, es importante tener presente una regla. NO pagar el rescate. En primer lugar, es ilegal dado que estás pagando por una extorsión. En segundo lugar, no tienes ninguna garantía de que te liberen la herramienta para realizar el proceso de desencriptado. Si bien es cierto que hay gente que ha pagado y la han liberado, mucha otra ha pagado sin recibir la herramienta. O han recibido la herramienta, se ha procedido a iniciar el proceso de descifrado y entorno al 20% del proceso, se vuelve a exigir el pago para poder continuar el proceso.

El hecho de que la mayoría de organizaciones realice los cobros en criptomonedas, ayuda a dificultar las posibilidades de búsqueda y captura de dichos delincuentes.

Es importante denunciar a la policía que has sido víctima de un ataque y a la AEPD (Agencia Española de Protección de Datos) a fin de poder comunicar una posible filtración de datos al exterior no consentida.

Además, antes de proceder a usar herramientas para eliminar el ramsomware es importante, desconectar los componentes infectados (PC, servidores, NAS etc.) de la RED a fin de evitar la propagación. En los equipos que a priori no hayan sido infectados, desconectarlos de internet e intentar pasar programas para comprobación y limpieza.

Los equipos infectados, es interesante realizar una copia de los discos en formato 1:1 a fin de tener una copia idéntica del disco cifrado. En ocasiones, las claves de cifrado, se almacenan en archivos temporales, por lo que el uso de los programas de limpieza puede complicar el proceso de descifrado.

Una vez tengamos los equipos “clonados” lo ideal es formatear esos equipos y empezar de 0 a fin de tener todo limpio y, sobre todo, actualizado.

Por último, ponerse en manos de especialistas como Laby para afrontar el problema de la forma más rápida y con garantías. El proceso de descifrado no es sencillo, ni tampoco económico siendo la horquilla de precios muy amplia.

Cada tipo de cifrado es único. Pese a que los ramsomware suelen llevar nombres genéricos, es importante saber que en muchas ocasiones utilizan diferentes claves de cifrado, generadas en el momento para proceder al cifrado de datos. Además, si el proceso se interrumpe por cualquier motivo (reinicio del pc, apagado encendido, etc.) se genera una nueva clave diferente a la anterior, por lo que podremos encontrar ficheros con una clave y ficheros con otra.

Es importante, poder realizar un análisis previo de los ficheros cifrados y determinar cuantos vectores de cifrado (claves) hay aplicadas en el proceso de cifrado de datos.

No obstante, el desarrollo de herramientas, así como el uso de centros de super computación permiten en más de un 95% resolver todos los ramsomware a día de hoy.