Una de las posibles amenazas «in crescendo» para este año 2006 es posiblemente la consolidación de las técnicas y herramientas orientadas a la generación de ransonware. Muchos os preguntaréis que es eso del ransomware, así que lo explicaré brevemente.
El término procede del vocablo sajón ransom, que viene a significar el pago de cantidades monetarias para restituir la libertad de un ser u objeto determinado. Por ejemplo, cuando alguien secuestra a alguien y demanda dinero a cambio de su liberación, se produce una extorsión que sería definible perfectamente en lengua inglesa como la petición de un ransom money.
Cuando lo que se secuestra, o lo que se priva de libertad o funcionalidad es un componente determinado a través de otros componentes software, entran en juego los mecanismos de secuestro conocidos como ransomware. Otros autores emplean términos similares para describir estas situaciones, como por ejemplo el término criptovirologíao extorsión criptoviral, como es el caso del profesor Carlos Suárez Gutiérrez. Yo particularmente uso la definición de extorsión criptoviral, ya que me parece la más acertada, ya que el empleo de ransomware pretende:
- Secuestrar información
- Impedir la liberación por parte del usuario afectado mediante técnicas criptográficas
- Solicitar dinero a cambio de la liberación
Existen otras acepciones para el ransomware, pero orientadas al establecimiento de un modelo en el que una obra intelectual determinada comienza su andadura con términos de copyright intensivos que una vez alcancen un hito temporal o un volumen de ingreso, pasan a ser obras libres. No es objeto de este comentario ese modelo.
Ejemplo
Imagine que un buen día usted va abrir ese documento Word, o ese plano de Autocad, o esa hoja Excel que contiene el trabajo resultado de mucho tiempo de esfuerzo, y que además, es clave para que usted, porque en pocos días, el cierre un contrato millonario con una empresa determinada depende de que reciban los contenidos de ese documento.
Piense que va a abrir ese documento para ultimar detalles, y para imprimirlo. Pero a la hora de abrirlo se da cuenta de que no puede. El fichero, cuando es pulsado para su ejecución, sólo nos muestra una ventanita en la que dice: «Si quiere obtener una clave para liberar el documento, ingrese 200 euros en la cuenta corriente con CCC XXXX-XX-XXXX …»
Qué dilema, ¿no?. ¿Pago los 200 euros para no perder un contrato millonario? Muchos seguramente harían la transferencia. Si el creador de la herramienta criptovírica que ha secuestrado su documento le ofrece la clave que permite abrir el documento, usted ha sufrido un mal menor. Muchos jamás le entregarán clave alguna y usted perderá el contrato y su credibilidad en el mejor de los casos.
Usted ha sido víctima de una extorsión criptoviral. Le han extorsionado, y para poder bloquear ese documento con técnicas criptográficas sin que usted se entere, han empleado un ejemplar de malware, por ejemplo, un troyano, el cual sigilosamente ha bloqueado todos y cada uno de sus documentos .DOC, .PDF. .DWG, etc.
¿Un escenario improbable? El caso del troyano AIDS
No, para nada. El caso más reciente es el de PGPCoder, sobre el cual hubo una amplia repercusión mediática, aunque para fortuna de muchos, estaba mal programado.
Un caso que recuerda al que provocó AIDS, uno de los primeros troyanos en la historia de los PCc, especimen que fué denominado incorrectamente como virus. Este caso es además, de los más relevantes de la historia, por la impresionante puesta en escena del mecanismo de estafa y extorsión. En 1989, en torno a 10.000 copias de un paquete llamado «AIDS Information», con presunta información sobre el SIDA, fueron emitidos desde una compañía llamada PC Cyborg. Los destinatarios de los paquetes postales principales eran corporaciones médicas y farmacéuticas, si bien se recibieron copias en otros tipos de negocio.
Los paquetes, con una apariencia profesional, contenían una presunta carta de aceptación de condiciones de licencia, con un texto tal que:
«In case of breach of license, PC Cyborg Corporation reserves the right to use program mechanisms to ensure termination of the use of these programs. These program mechanisms will adversely affect other program applications on microcomputers. You are hereby advised of the most serious consequences of your failure to abide by the terms of this license agreement.»
En el paquete y la presunta licencia se dejaba ver claramente el texto «No use estos programas a no ser que esté preparado para pagar por ellos»
El paquete contenía un disco con un programa de instalación con una simple nota informativa sobre riesgos y un poco de información en forma de catálogo. Lo que no se figuraban los usuarios es que el instalador creaba un directorio oculto, se producía un renombrado y sustitución del AUTOEXEC.BAT, y entre tanto, el programa contaba el número de veces que un ordenador era iniciado. Una vez alcanzado un cierto número, se presentaba una simpática factura y una petición de pago al usuario para obtener la clave de cifrado que permitía liberar la información secuestrada: AIDS cifraba la totalidad del disco duro.
PC Cyborg, aparentemente una sociedad falsa, con sede fiscal en Panamá, resultó ser real, y esto llevó a las autoridades a proceder a la detención de cuatro sujetos y un cómplice que planeaban distribuir 200.000 copias de los paquetes una vez concluídas las pruebas con esos primeros 10.000 paquetes. Para fortuna de muchas víctimas, se pusieron a disposición del público herramientas para la desinfección, y esos 200.000 paquetes nunca vieron la luz.
Conclusiones
Desde 1989 hasta el 2006 han pasado muchos años, período en el que un temible monstruo ha estado casi permanentemente aletargado, y en el que cada vez que ha despertado, por pocas veces que lo haya hecho para fortuna de todos, han temblado los cimientos de muchas organizaciones y hogares.
Muchos analistas ven el 2006 como el año del resurgir de este tipo de acto malicioso. Yo tengo mis reservas, no descarto que tome cuerpo y avance la investigación del sector del crimen organizado en aras de la explotación y la rentabilización económica de este tipo de malware, pero creo que 2006 seguirá siendo el año por excelencia del phishing segmentado, potenciado por troyanos bancarios y de robo de credenciales en general.
Sea como fuere, esperemos que los casos de PGPCoder o de AIDS no se repitan nunca.
ACTUALIZACIÓN: Al hilo de la evolución histórica presentada aquí sobre malware de extorsión criptoviral, Maty, de Nauscopio nos deja en el «meneo» de esta noticia un interesante enlace, muy instructivo y asequible a todos los niveles, sobre la evolución histórica de los bichos, titulado El fascinante mundo de los virus informáticos. Maty nos invita también a echar un ojo a la web de Jesús Márquez, http://www.jesusmarquez.net/, donde hay artículos de temática similar.
The things that matter from my point of view as far as that type of malware is concerned, is the momentum, its targeted and segmented nature, next to the victim not having any recent backups of the information concerned. Also, if an attacker manages to get this info out of of network prior to encrypting it going beyond public libraries, and wiping it out, backups wouldn’t work and simple plain extortion based on what is actually stolen will happen. IP theft worms and ransomware have a lot of potential, and I don’t think it needs to be
Nice post..Babelfish :-)
Cheers,
Dancho
Dancho,
Great to have you again here !
I´ve just written about your recent article about signature-only antivirus products. Quite nice and interesting :)
You are absolutely right about the backup matters. I personally think that ramsonware is a type of attack with a lot of potential, and unfortunately, I suspect that we are going to see some movement «out there» un 2006. As you know, all attacks are changing their exploitation techniques, in order to obtain from them the highest economic rentability. Cybercrime is now a business, time to stop thinking about script kiddies playing with machines in their garages.
I bet for segmented phishing attacks with trojan horses to be the most critical type of attack for 2006. Anyhow, AV solutions are, at this moment, the most important pieces in network protection against malware, as they are the closest protection schemas to final users. Cross my fingers, I expect even better proactive and reactive results por AV products :)
Kind regards !