Con el paso de los años el ransomware ha ido mutando sus formas de ataque y extorsión. Hoy nos encontramos frente a un “vale todo”, donde el pago de rescates parece haber quedado en un segundo plano y no presenta atajos ni garantías para las víctimas.
El que se considera como el primer ataque de ransomware de la historia fue previo a la existencia de internet, y se distribuyó a través de disquetes, en 1989. Fue en el contexto de la aparición del virus del SIDA, cuando un biólogo envió a pacientes y centros médicos 20.000 dispositivos de almacenamiento con un programa que medía el riesgo de una persona de contraer la enfermedad, a través de una encuesta, pero también contenía un virus que cifraba los archivos de las máquinas infectadas después de un cierto número de reinicios, relatan desde Stormshield. Para recibir el software descodificador, las víctimas tuvieron que pagar un rescate de 189 dólares, enviando dinero a un apartado postal panameño.
El problema por esos días era que se podía rastrear a los delincuentes con cierta facilidad gracias a la información de pago. Por eso esta forma de ataque se volvió más fuerte con la aparición de las monedas digitales, alrededor de 15 años después.
Cuenta la leyenda que, así como sucedía con ciertos delincuentes del barrio en otros tiempos, que se decía tenían “códigos” y no asaltaban a los vecinos, los primeros ciberdelincuentes dedicados a este tipo de ataques tenían la norma de cumplir con la promesa del descifrado de archivos para que las víctimas estuvieran dispuestas a pagar el rescate. Desde Security Intelligent aseguran además que los grupos de ransomware se presionaban mutuamente para cumplir con esas promesas. A los extorsionadores les preocupaba que las personas no pagaran si pensaban que no recuperarían sus archivos.
En la actualidad no encontramos con distintas y más agresivas modalidades, como la diversificación de modos extorsivos y el ransomware como servicio.
El ransomware hoy
A lo largo de su evolución, el ransomware fue incorporando grados de complejidad. La primera capa, coincidente con las iniciales formas de ataque, es el cifrado de datos. La segunda capa, que se denomina “doble extorsión”, agrega la amenaza de filtrar o vender información importante en la web oscura o incluso en la pública.
Y la apuesta sigue subiendo: ahora, a esas dos formas de presión se suma una tercera capa, que puede incluir el lanzamiento de ataques de denegación de servicio distribuido (DDoS), correos o llamadas telefónicas intimidantes. Además, en la denominada “triple extorsión”, la presión puede estar dirigida a la misma víctima u organización o ampliarse a la pareja de la persona atacada, a sus clientes, proveedores, etc. Desde Security Intelligence advierten que estas extorsiones adquieren un nuevo nivel de peligro.
Luego aparecen otras versiones de ransomware, como Onyx, que borra cualquier archivo que exceda los 2MB de tamaño. Solo los documentos más pequeños se pueden recuperar si la víctima paga un rescate, pero quienes han sufrido un ataque de Onyx nunca recuperarán sus archivos más grandes e importantes. Entonces, ¿qué sentido tiene pagar el rescate?
Otra nueva tendencia es el ransomware as a service (RaaS). Con esta posibilidad, casi cualquier persona puede convertirse en un actor de amenazas. Hay sitios web bien elaborados, envío de boletines, tutoriales disponibles, anuncios de nuevas características y personalizaciones: simplemente con suscribirse un usuario puede realizar ataques a individuos y organizaciones. Algunos paquetes incluso están disponibles de forma gratuita, lo que hace que las cosas sean aún más impredecibles.
En octubre pasado, apareció el ransomware Cryptonite, contra los sistemas Microsoft Windows. Los desarrolladores escribieron el malware en Python y lo distribuyeron como parte de un kit de herramientas de código abierto accesible. Es decir, cualquiera podría recoger y usar Cryptonite de forma gratuita. Cuando lo analizaron, los investigadores de ciberseguridad de Fortinet descubrieron un dato alarmante: Cryptonite no proporciona ningún medio para descifrar los archivos cifrados. Incluso si la víctima paga el rescate, el malware es esencialmente limpiador, similar a Onyx.
La eterna disyuntiva del rescate
Distintos tipos de especialistas y autoridades hacen especial énfasis en la recomendación de no ceder antes las extorsiones y evitar el pago de rescates. Como contrapartida, la principal salida es guardar una copia de seguridad de todos los archivos importantes, al igual que actualizar el sistema operativo, software y parches de herramientas de seguridad.
Una investigación de Sophos reveló que las organizaciones que pagaron un rescate en 2021 recuperaron solo el 61% de sus datos, frente al 65% en 2020. Del mismo modo, solo el 4% de los que pagaron obtuvieron todos sus datos en 2021, frente al 8% en 2020. Cada vez se obtienen menos resultados al pagar las cifras exigidas.
Este estudio encontró además que las copias de seguridad de datos son el principal método utilizado para restaurar la información, utilizado por el 73% de las organizaciones víctimas de ransomware, mientras que el 46% informó que pagó el rescate para restaurar los datos.
Es importante destacar el rol que desempeña la iniciativa No More Ransomware, que ha ayudado con éxito a más de 1,5 millones de víctimas a descifrar sus archivos sin ceder a las demandas de rescate. A seis años de su aparición, más de 10 millones de personas descargaron gratuitamente las herramientas de descifrado, disponibles para 165 variantes de ransomware.