Ransomware Amenaza Electrónica

[pic 1][pic 2]

Ransomware

Amenaza Informática

Alumnos:         CHOQUE, SUSANA

        SANTERBÁS, ALEJANDRO

Profesora:         TRIPODI

1. Introducción

1. Ransomware

El ransomware es un  tipo de malware cuyo objetivo es privar al usuario del acceso a un tipo de recurso de su sistema, comúnmente a sus archivos. Esto se consigue encriptándolos  (crypto ransomware). O el impedir el acceso al sistema completo mediante un bloqueo de la sesión (locker ransomware). Es muy común que para eliminar este bloqueo o desencriptar los archivos afectados se pida a la víctima pagar un rescate (ransom), en forma de dinero, normalmente se suelen utilizar criptomonedas para evitar el rastreo.  

1. Criptografía  

El objetivo es presentar, de forma breve y concisa, una visión general de que es la criptografía y las nociones básicas importantes en referencia a los crypto ransomware  La criptografía  puede considerarse como la ciencia, conjunto de herramientas y procedimientos que permiten asegurar una información, haciéndola ilegible para aquellos que no tengan permisos para acceder a la misma. Esto normalmente se consigue mediante el uso de una o varias claves, que mediante una serie de procedimientos y algoritmos consiguen cambiar el texto original suficientemente, para que no pueda ser legible. En el caso de los ransomware, en vez de para proteger unos datos, la criptografía se usa para encriptar los archivos de la víctima y no permitir el acceso a los mismos.

1. Criptografía de clave simétrica  

La criptografía de clave simétrica, se basa en la utilización de una clave para cifrar (convertir el texto plano en cifrado) y  para descifrar (convertir el texto cifrado en plano). Por lo que ambas partes, quien ha cifrado el texto y quien quiera descifrarlo, deben conocer la clave que ha sido utilizada. Lo que supone una restricción y un problema añadido, debido a la necesidad de planificar una política de gestión y distribución de claves.  La referencia en  los algoritmos de criptografía simétrica es AES (Encriptación Avanzada Estándar). El cual consiste en una serie de rondas, en las que se realizan sustituciones y permutaciones en las que se va utilizando como entrada unas subclaves derivadas de la clave original con base matemática. Una de las propiedades más atractivas del algoritmo AES es que un archivo cifrado un número de rondas con una secuencia de subclaves se puede descifrar aplicando las mismas rondas, utilizando las claves en el sentido inverso.  Los tamaños de clave pueden variar entre 128,  192 y 256 bits, haciendo necesario el cambiar la clave periódicamente para evitar ataques por fuerza bruta o búsqueda exhaustiva.

1. Criptografía de clave pública

La criptografía de clave pública supera la debilidad de la comunicación de la clave entre las partes, propia del cifrado simétrico. En este caso, la criptografía pública se basa en la existencia de pares de claves, una pública y otra privada. La información cifrada por la clave pública, podrá ser descifrada por la clave privada, sin necesidad de una comunicación entre partes. Además el conocimiento de la clave pública, no compromete al sistema. El algoritmo referencia de clave pública es RSA (Rivest, Shamir y Adleman, sus inventores), cuya seguridad se basa en la dificultad de factorizar números grandes.

Un estudio llevado a cabo por el Global Journal of Computer Sciente and Technology Network, determinó que los algoritmos de clave simétrica, en este caso AES, encriptan mucho más rápido que los de clave pública, RSA, además de consumir menos capacidad de procesamiento.  De acuerdo a esto, los creadores de ransomware prefieran utilizar algoritmos de clave simétrica, para lograr cifrar los archivos en el menor tiempo posible. A pesar de esto, las ventajas que otorga la clave pública, en cuanto a la distribución y gestión de la contraseña no pueden ser despreciadas. La aproximación más común, es la de cifrar los archivos de la víctima con un algoritmo de clave simétrica y la encriptación de esas claves simétricas mediante un algoritmo de clave pública, así se consigue aunar las ventajas de ambos métodos.

1. Historia de los Ransomware  

El nacimiento del ransomware se remite a 1989, cuando el doctor Joseph Popp, experto en biología, crea el malware AIDS (Aids info disk). Este malware fue distribuido en forma de 20.000 disquetes infectados en una conferencia de la Organización Mundial de la Salud. Este malware es un tipo de troyano cuyo funcionamiento es el siguiente. Primero remplaza el fichero AUTOEXEC.BAT, que es usado por AIDS para contabilizar el número de reinicios del sistema.  Una vez se alcanza la cifra de 90 reinicios, AIDS oculta directorios y encripta los nombres de todos los ficheros contenidos por la unidad C. Para esta encriptación, se utilizaba criptografía simétrica. Fue posible la recuperación de una gran parte de los archivos afectados, utilizando herramientas de la época. Finalmente se pide al usuario un pago, que se presenta como una renovación de una licencia, en este caso fue de u$s 189, una cifra más que respetable para la época. Pese a tener un funcionamiento muy primitivo, AIDS tenía todos los elementos característicos para sentar las bases de lo que posteriormente sería conocido como ransomware.  Para encontrar el siguiente paso importante en la historia del ransomware, debemos remitirnos a 2006, donde el malware Archiveus, otro tipo de troyano, fue publicado. Su funcionamiento era muy similar al de AIDS, encriptando archivos del usuario. Este malware se focalizaba en los sistemas Windows, que eran los más utilizados en la época y en concreto en la carpeta “Mis documentos”. Previsiblemente esta carpeta contenía los archivos más sensibles para las víctimas. Al igual que su predecesor, una vez los archivos eran encriptados, se pedía un rescate a cambio de desbloquearlos. Esta vez mediante una serie de compras en una farmacia online. La gran evolución de Archiveus fue que, además de ser distribuido a través de internet, lo que hacía que su propagación y el número de víctimas potenciales fuera mucho mayor, incorporaba encriptación asimétrica, específicamente RSA, para distribución de las claves simétricas, que se utilizaban para cifrar los archivos. A partir de 2007, comienzan a aparecer los primeros ransomware de tipo locker, cuyo funcionamiento es el impedimento al usuario del acceso al sistema. Uno de los más famosos en esta época fue WinLock, que bloqueaba el sistema con imágenes pornográficas y requería del envío de un SMS con un coste de u$s 10 para volver a permitir el acceso al usuario. Durante los años posteriores, los ransomware se sofistican y se vuelven más complejos debido fundamentalmente a los propios avances en criptografía. Posteriormente los ransomware siguen expandiéndose y evolucionando hasta que en 2011, aparece un tipo de troyano, sin nombre, que imita la notificación de renovación de producto de Windows. Además incorpora una opción online para renovarla y solucionar el problema, opción que realmente no realizaba esta tarea. Al final, se solicita al usuario realizar una llamada para solucionar el problema. Esta era una llamada internacional que repercutía en grandes costes para la víctima. También comienzan a ser utilizados los métodos de pago online anónimos, que facilitan la recaudación del dinero por parte de los hackers.  En 2012 el crimen en internet alcanza otro nivel, más en concreto con Citadel, un conjunto de herramientas y redes de bots para distribuir malware, que alcanza un gran número de sistemas (más de 100.000 en el primer cuarto de 2012).  Citadel permite mediante el pago de una pequeña cantidad, que los cibercriminales instalen cualquier tipo de malware en los sistemas de las víctimas. Aprovechando esta situación surge Reveton, que se basa en el funcionamiento de un malware denominado Lyposit y utiliza los servicios de Citadel para infectar a un gran número de víctimas. Su funcionamiento es simple: se bloquea el sistema y se notifica al usuario de que ha realizado algún tipo de comportamiento ilegal, afirmando ser un organismo oficial encargado de cumplir las leyes. El crimen en concreto y el organismo dependían de la ubicación del usuario. En algunos casos se llegaba a emitir contenido de la webcam de la víctima para simular que está siendo grabada. Posteriormente se requería al usuario pagar una multa correspondiente al delito, mediante algunos de los sistemas de pago más utilizados de la época, como Ukash, Paysafe o MoneyPak.  Reveton sienta un precedente y posteriormente nacen y se desarrollan muchos ransomware que al igual que Reveton simulan ser algún tipo de organismo oficial. El organismo más comúnmente imitado es la policía, también surgen varios que suplantan la identidad del FBI. El propio Reveton evoluciona en varias versiones y vertientes.  En 2013 surge uno de los ransomware más conocidos, Criptolocker. El cual Cambió la forma de expandirse, intentando infectar a las víctimas mediante descargas en webs controladas y mediante el envío de mails a profesionales de ciertos sectores haciéndose pasar por quejas de clientes.   Criptolocker utilizaba una encriptación AES-256 para cifrar, como en los casos anteriores, centrándose en ciertos ficheros del usuario. Esta vez incorporando la novedad de actuar sobre archivos con cierta extensión. Posteriormente encriptaba con un algoritmo RSA de 2048 bits, cuya clave era generada por un servidor command and control. Finalmente, al igual que en los casos anteriores, se pedía un pago a los usuarios afectados, a cambio de recuperar los ficheros encriptados, esta vez el método de pago más utilizado fueron los Bitcoins. Posteriormente se desarrollarían nuevas versiones de Criptolocker como la 2.0, la cual  se centraría también en encriptar archivos de imagen, música y video, los Bitcoins eran el único método de pago aceptado. A comienzos de 2014 aparece CriptoDefense, utiliza la red Tor y de nuevo los Bitcoins como método de pago y RSA-2048 como método de encriptación. La novedad fue que usaba la API de Windows para encriptar, lo que hacía que el software tuviera que mantener la clave como texto plano en el sistema afectado.  Más tarde, los creadores de CriptoDefense, lanzaron una nueva versión denominada CriptoWall, esta vez la clave se guardaba inaccesible para el usuario. Entre marzo y agosto se estima que más de 600.000 sistemas y 5 mil millones de archivos fueron encriptados por Criptowall.  Durante 2014 siguen apareciendo nuevas variantes de ransomware, como Koler, un tipo de troyano que afectaba a usuarios Android o Cryptoblocker, centrado solo en pequeños archivos.  En 2015 los ransomware pasan al siguiente nivel gracias a la red Tor, la famosa red de servicios criminales. Pudiendo ser utilizada para propagar un ransomware a cambio de un porcentaje de las ganancias. Bajo esta premisa nace TeslaCrypt. Al igual que alguno de sus predecesores utiliza un algoritmo de clave simétrica para cifrar los archivos (AES-256) y uno de clave pública para encriptar esta clave simétrica (RSA-4096). TeslaCrypt incorporaba una gran capacidad para mantenerse en los ordenadores infectados.  En los siguientes años, hasta la actualidad, se han sucedido nuevos ransomware, cada vez más sofisticados y especializados en servicios como Wordpress alcanzando cada vez más usuarios y sistemas. Estos ransomware modernos incorporan variantes de ingeniería social más sofisticadas. El punto de infección más importante son los enlaces en páginas de descarga.  Más recientemente  podemos destacar a Mamba, que fue descubierto en septiembre de 2016 por un grupo de investigadores brasileños. Su principal novedad es que, a diferencia de los objetivos de cifrado que pudieran tener los ransomware citados anteriormente, Mamba encripta todo un disco del sistema afectado. Este tipo de ataques abre un nuevo abanico de posibilidades. Finalmente se requiere que el usuario pague el rescate con Bitcoins. Este método es el más utilizado por los cibercriminales, en este caso se debía pagar 1 Bitcoin.  Uno de los últimos ataques más importantes ha sido el de Wannacry, que fue globalmente conocido el pasado 12 de mayo de 2017. Este día se realizó un ataque masivo a varias organizaciones. Wannacry es un ransomware cuya propagación es la propia de un virus de tipo gusano. Al igual que la mayoría de ransomwares se encarga de cifrar los archivos del sistema de la víctima para después pedir un rescate a cambio de recuperarlos, la cuantía de este rescate va desde los u$s 300 a los u$s 600. Actualmente existen programas capaces de recuperar los archivos afectados por Wannacry, como la herramienta de Sensorstechforum.

...