top of page

Enfoque en Ransomware: Métodos de Pago de Ransomware


Los cibercriminales se están volviendo más descarados, exigiendo rescates cada vez más grandes para descifrar los archivos que han secuestrado, y es posible que podamos ver que las demandas de los ciberdelincuentes se vuelvan aún más escandalosas en los próximos años. El monto promedio del rescate aumentó de $ 294 en 2015 a la friolera de $ 1,077 en 2016, según las cifras recopiladas en un reciente informe de seguridad de Internet. El malware también se ha vuelto más diverso, con el número de familias de ransomware que se triplicó (de 30 a 101) entre 2015 y 2016.

El ransomware nunca ha sido tan lucrativo, pero ¿qué es lo que hace que sea tan fácil para los ciberdelincuentes sacar provecho de los usuarios desprevenidos?

Bueno, para alentar aún más a las víctimas a pagar el rescate, las pasarelas de pago que admiten ransomware han seguido siendo más avanzadas, casi rivalizando con los sitios web modernos de negocios en línea en su diseño profesional y funcionalidad sofisticada. Spora es quizás el mejor ejemplo de tal mecanismo de pago, con el ransomware con una interfaz pulida, una variedad de paquetes de recuperación y un chat para comunicarse con los piratas informáticos. Mientras tanto, las tecnologías de bitcoin y blockchain han establecido las bases para sistemas de pagos que son fáciles de usar, instantáneos y más o menos anónimos, lo que hace que sea mucho más difícil para las autoridades rastrear transacciones y perseguir a los piratas informáticos.

En este artículo, el último de nuestra serie "Spotlight on ransomware", vamos a arrojar luz sobre las tecnologías que hacen posible el ransomware, exploraremos una variedad de métodos de pago de rescate y revelaremos por qué recomendamos no pagar nunca el rescate.

¿Qué es la tecnología bitcoin y blockchain?

Si está leyendo este blog, hay muchas posibilidades de que haya oído hablar del término "bitcoin", pero es posible que no esté familiarizado con lo que realmente es o cómo funciona.

Bitcoin es una moneda digital. Al momento de escribir, un bitcoin vale aproximadamente $ 3,500. La moneda está descentralizada y distribuida, lo que significa que funciona completamente con sus usuarios y funciona independientemente de cualquier organización o intermediario (por ejemplo, bancos). Se basa en la tecnología blockchain, que es un libro público que registra cada transacción de bitcoin que se haya llevado a cabo y las almacena en grupos conocidos como bloques. Una vez que se ha registrado un bloque en el libro mayor, no se puede cambiar ni manipular sin alterar cada bloque que lo suceda. Cada nodo conectado tiene y distribuye una copia de la cadena de bloques, lo que garantiza un alto nivel de seguridad y hace que el sistema sea más o menos invulnerable a la corrupción.

¿Qué tiene que ver la cadena de bloques con bitcoin? Bueno, no solo ayuda a todos a realizar un seguimiento confiable de cuántos bitcoins no gastados están en circulación, sino que también es fundamental para liberar bitcoins en el mundo.

Las ventajas clave de bitcoin como moneda es que el sistema es más o menos impermeable a la corrupción o la manipulación, las transacciones son anónimas y, debido al hecho de que la moneda no depende del marco financiero de ningún país, los pagos internacionales de bitcoin implican tarifas bajas.

Si bien estos beneficios ofrecen mucho atractivo en el mundo real y tienen muchas aplicaciones legítimas, también han contribuido a que Bitcoin se convierta en el método preferido de pago entre los ciberdelincuentes.

¿Cómo bitcoin y blockchain permiten el cibercrimen?

Bitcoin y blockchain se han convertido rápidamente en pilares integrales en la escena moderna del malware. En el pasado, los hackers intentaron usar otros sistemas de pago en línea como Western Union y PayPal para llevar a cabo estafas de phishing.

Sin embargo, debido a que estos sistemas todavía estaban vinculados a una cuenta bancaria, los investigadores generalmente podían seguir el rastro de papel digital y localizar a los delincuentes.

La naturaleza encubierta de bitcoin minimiza muchos de estos riesgos para los piratas informáticos, pero no es solo el anonimato lo que lo hace tan atractivo. Las transacciones son más o menos instantáneas y no requieren detalles de inicio de sesión meticulosos, no hay necesidad de conversiones de divisas y el sistema, al menos en la actualidad, no está completamente regulado.

Estos atributos combinados proporcionan un alto nivel de flexibilidad y permiten a los delincuentes establecer y cerrar operaciones sobre la marcha mientras intentan estar un paso por delante de las autoridades.

Si bien el sistema de pago exacto puede variar un poco entre las familias de ransomware, el proceso generalmente se ve así:

Cómo funciona una transacción de pago de rescate

  1. A la víctima se le presenta una pantalla de rescate con las demandas de los piratas informáticos, que a menudo incluye instrucciones que detallan cómo la víctima puede comprar bitcoins para realizar el pago.

  2. La víctima compra los bitcoins necesarios para pagar el rescate.

  3. La víctima envía el dinero a través de un intercambio de bitcoins a la billetera de bitcoins del hacker.

  4. Los delincuentes confirman el pago por correo electrónico o un sitio Tor y, si la víctima tiene suerte, proporcionará los medios para descifrar los archivos de la víctima.

  5. Los bitcoins se pueden lavar a través de un servicio de mezcla de bitcoins, que intercambia bitcoins por diferentes bitcoins del mismo valor menos una pequeña comisión. Alternativamente, los bitcoins de rescate se pueden pasar a través de un vaso de igual a igual, una red de billeteras bitcoin (a veces numeradas en decenas de miles) que codifican la moneda y ayudan a los delincuentes a ocultar sus huellas.

  6. Los delincuentes pueden usar los bitcoins para comprar bienes directamente o, más raramente, pueden intercambiar los bitcoins por otras monedas en uno de los muchos intercambios de bitcoins.

Ejemplos de pago de rescate: lo "bueno", lo malo y lo estúpido

Al igual que otras formas de delincuencia, el ransomware puede ejecutarse de una manera inteligente y profesional, o puede ser implementado ad hoc por vaqueros oportunistas.

Como mencionamos anteriormente, el ransomware Spora cuenta con uno de los mejores sistemas de pago que hemos visto. Tras la infección, Spora le presenta a la víctima un sitio web con una interfaz de usuario bellamente diseñada que, a diferencia de la mayoría de los otros ransomware, no requiere que los usuarios descarguen Tor para acceder. Spora también ofrece una variedad de paquetes de recuperación: $ 190 en bitcoins descifrarán todos sus archivos; $ 30 en bitcoins eliminarán el ransomware (pero no restaurarán sus archivos) o le darán inmunidad contra futuras infecciones; y $ 40 en bitcoins restaurarán algunos (pero no todos) de sus archivos. Spora tiene su propio servidor de comunicaciones y chat, lo que hace que sea mucho más difícil de rastrear para las autoridades.

De manera crucial, Spora genera una nueva dirección de bitcoin para cada víctima, por lo que es mucho más difícil para las agencias de aplicación de la ley rastrear los pagos de rescate y, por lo tanto, los propios delincuentes.

English version of the Spora ransom payment site.

En el otro extremo del espectro tenemos NotPetya, ransomware que recientemente causó una interrupción generalizada en Europa y el resto del mundo. El sistema de pago de NotPetya tenía algunas fallas significativas, lo que significa que a pesar de su tasa de infección relativamente alta, los autores del ransomware solo lograron extorsionar a sus víctimas con cuatro bitcoins.

¿Qué salió mal?

En primer lugar, la campaña se basó en una dirección de correo electrónico regular, que fue eliminada rápidamente por el proveedor de correo electrónico, dejando a los cibercriminales sin forma de comunicarse con sus víctimas. En segundo lugar, y al contrario de Spora, el ransomware NotPetya solo tenía una billetera bitcoin codificada para que las víctimas enviaran dinero, lo que facilita el seguimiento de cuánto dinero han generado los piratas informáticos y brinda a las autoridades una ligera ventaja a la hora de cazar a los perpetradores. .

¿Deberías pagar el rescate?

Es tentador ceder a las demandas de rescate cuando sus archivos se han visto comprometidos, y más aún cuando están en juego los datos comerciales.

En un estudio de 600 líderes empresariales, la investigación de IBM descubrió que hasta el 70 por ciento de las compañías golpeadas con ransomware pagaron a los ciberdelincuentes para restaurar sus archivos, con más de la mitad de las cantidades de rescate por un total de más de $ 10,000.

Independientemente de lo mucho que desee recuperar el acceso a sus datos, le recomendamos encarecidamente que no forme parte de esta estadística. Aquí en Emsisoft, siempre recomendamos no pagar el rescate por algunas razones:

  • No hay garantía: aunque los delincuentes le aseguran que descifrarán su sistema después de recibir el pago, en última instancia no hay garantía de que cumplan con esta promesa. Después de que hayan recibido sus bitcoins, el único incentivo para que los piratas informáticos desbloqueen sus archivos es mantener la credibilidad entre las víctimas de que de hecho descifrarán su sistema e incentivarán el pago. En estos días, sin embargo, la línea entre el ransomware con fines de lucro y el ransomware enfocado en la disrupción (por ejemplo, NotPetya) está más borrosa que nunca, lo que significa que es difícil saber cuáles son realmente las motivaciones de los piratas informáticos. En pocas palabras, no hay garantía!

  • Hay herramientas gratuitas para ayudar: casi todos los autores de ransomware insisten en que sus archivos son irrecuperables sin pagar el descifrado, pero ese no es siempre el caso. Se puede deshacer una variedad de ransomware con las herramientas de descifrado disponibles gratuitamente de Emsisoft y otras empresas de seguridad, y siempre se están desarrollando más. Ni siquiera pienses en pagar el rescate hasta que hayas verificado si hay una herramienta de descifrado que pueda ayudarte.

  • Incentiva más el delito cibernético: pagar el rescate promueve el comportamiento delictivo y alienta la creación y propagación de aún más ransomware. El ransomware casi siempre tiene una motivación financiera; Si nadie pagara el rescate, habría pocos motivos para que los hackers continúen lanzándolo.

Por supuesto, no siempre es fácil racionalizar las cosas cuando su sistema ha sido bloqueado y está mirando una nota de rescate amenazante. Sin embargo, trate de mantener la calma y evite ceder al ransomware siempre que sea posible, y recuerde seguir los pasos correctos en caso de que ocurra un desastre.

Ransomware: ¿el crimen perfecto?

Si bien Bitcoin y la cadena de bloques hacen un muy buen trabajo al ocultar las identidades de sus usuarios, es importante tener en cuenta que la policía a menudo todavía puede rastrear a los delincuentes involucrados en el ransomware y eliminar sus operaciones al centrarse en el enlace más débil:

Los criminales mismos.

En septiembre de 2015, por ejemplo, la Unidad Nacional de Delitos de Alta Tecnología holandesa, en colaboración con Kaspersky Lab, arrestó a dos hombres que presuntamente estaban involucrados en una variante de CoinVault, una pieza de ransomware que encripta archivos y los somete a rescate. A diferencia de otras versiones del ransomware, el código de esta iteración particular estaba salpicado de frases holandesas impecables. Dado lo difícil que es escribir perfectamente en holandés, los investigadores sospechan que existe un vínculo con los Países Bajos, y esta conexión geográfica resultó ser una parte crítica de los arrestos de los piratas informáticos.

Otros autores de ransomware de alto perfil que fueron arrestados por las autoridades incluyen a 11 miembros de la pandilla de ransomware Reveton, quienes fueron arrestados por la policía española a principios de 2013; y tres ciudadanos británicos involucrados en el ransomware de la Policía Metropolitana que fueron arrestados, algo irónicamente, por la verdadera Policía Metropolitana.

Es muy probable que veamos que las tecnologías bitcoin y blockchain desempeñan un papel cada vez más importante en el mundo moderno, y ese papel será mayormente positivo. Al mismo tiempo, sin embargo, no se puede negar que estos sistemas son al menos en parte responsables de apoyar la ola masiva de ataques de ransomware que han asaltado al mundo en los últimos meses.

¡Que tenga un gran día (sin ransomware)!

76 visualizaciones

Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!

bottom of page