Lo primero que vale la pena saber sobre el primer casillero de ransomware es que su uso aparentemente fue motivado por venganza más que por pura criminalidad. La segunda cosa que vale la pena saber es que no había ningún hablante de ruso a la vista.
De hecho, su autor, Joseph Popp, creció en Ohio y se educó en la Universidad de Harvard. Era un antropólogo, biólogo y experto en VIH/SIDA, que trabajó en estrecha colaboración con la Organización Mundial de la Salud (OMS) en África, y no fue aceptado para un puesto allí, algo que puede haber conducido al aparente colapso mental que resultó en la creación del concepto de ransomware.
El troyano contra el SIDA que Popp “desató” en el mundo en diciembre de 1989 era una simple pieza de software desde cualquier punto de vista. Técnicamente, en realidad era un codificador de denegación de servicio (DOS), que reemplazaba el archivo AUTOEXEC.bat utilizado para ejecutar comandos cuando se iniciaba el sistema informático.
Luego contó el número de ciclos de arranque por los que pasó el sistema hasta llegar a 90, momento en el que ocultó directorios y cifró los nombres de los archivos de la unidad C del sistema. Las víctimas u objetivos vieron un mensaje informándoles que sus sistemas estaban infectados por un virus.
“Recuerden, NO existe cura para el SIDA”, decía escalofriantemente el mensaje.
¿Cómo se contagiaron? Popp envió 20.000 disquetes a otros asistentes a una conferencia de la OMS sobre el SIDA y creó lo que ahora conoceríamos como un señuelo de phishing etiquetándolos como “Información sobre el SIDA – Disquetes introductorios”.
A las víctimas se les pidió que enviaran $189 (alrededor de $480, o £378 ajustado a 2024) a un número de apartado postal perteneciente a PC Cyborg Corporation en Panamá. El software también incluía un acuerdo de licencia de usuario final (EULA) que informaba a los “usuarios” que serían responsables del costo de “arrendarlo”.
Popp, que fue arrestado en Estados Unidos y extraditado al Reino Unido, nunca fue juzgado después de que un juez británico dictaminó que no estaba mentalmente apto para hacerlo: había desarrollado el hábito de usar condones en la nariz, rizadores en la barba y cajas de cartón. en su cabeza, según informaron los medios de comunicación de la época. Aún no está claro si esto fue o no una estratagema deliberada en lugar de una expresión de locura. De regreso a Estados Unidos, Popp abrió un santuario de mariposas y un jardín tropical con el mismo nombre en el norte del estado de Nueva York, y murió en 2007.
Reflexionando sobre la extraña historia detrás del troyano SIDA, Martin Lee, líder técnico de investigación de seguridad en la unidad de investigación e inteligencia Talos de Cisco, describe el malware como la creación de “un genio criminal loco”.
“Realmente era algo completamente nuevo, una nueva dimensión que no se había mencionado antes”, dice Lee a Computer Weekly. “Si recordamos el año 1989, Internet todavía consistía básicamente en una docena de computadoras en las universidades y en el ejército. Internet, tal como la conocemos, no había despegado, la World Wide Web no había despegado. La mayoría de las computadoras no estaban conectadas en red en absoluto, incluso las unidades de disco duro eran en gran medida un extra opcional de lujo.
“Todas estas cosas que ahora damos por sentado (distribución a través de una red, pago mediante criptomonedas) nada de esto existía. Fue un ataque bastante limitado… No se sabe, pero no se cree, que alguien haya pagado el rescate”.
Además, la profesión de seguridad cibernética simplemente no existía en su forma actual en 1989. “No estaba ni cerca de lo que es hoy. Era un mundo diferente”, dice Lee, quien caracteriza la TI de la época como “prehistórica”.
“El término ciberseguridad no existía y la industria no existía. Había personas que reconoceríamos que practicaban la seguridad de la información, pero tendían a estar en los tipos de entornos que requerían autorización de seguridad, como el ejército o los gobiernos. Habría sido una comunidad unida donde todos se conocían.
“Ciertamente, en su momento, el primer ransomware no causó gran revuelo en las noticias”, añade.
Adelantado a su tiempo
Que Popp estaba algo adelantado a su tiempo está claro en el sentido de que la idea del ransomware no volvió a surgir hasta mediados de los años 90, cuando académicos e informáticos empezaron a jugar con la idea de combinar virus informáticos (o malware) funcionalidad con criptografía.
Pero incluso entonces, el mundo pasó otra década en feliz ignorancia antes de que se hiciera el primer intento de un ataque criminal de ransomware del tipo que reconoceríamos en la década de 2020.
Gpcode, como se le llamó, apareció por primera vez en Rusia en diciembre de 2004, hace 20 años, cuando comenzaron a surgir informes de que los archivos de personas individuales estaban siendo cifrados mediante alguna nueva y extraña forma de ciberataque.
“Al final, resultó que un individuo, si mal no recuerdo, estaba recopilando información de sitios de empleo rusos y enviando correos electrónicos a los solicitantes de empleo diciendo: ‘Oye, nos gustaría que postularas para este trabajo’”, dice Lee.
“El documento señuelo pretendía ser un formulario de solicitud de empleo, pero en realidad era un ransomware el que cifraba los archivos y el rescate debía pagarse mediante transferencia de dinero. Este es realmente el primer ransomware criminal moderno cuyo objetivo (ganar dinero) es claro”.
Gpcode era “increíblemente rudimentario” en lo que respecta al ransomware: utilizaba una clave pública RSA de 600 bits para cifrar los archivos de sus víctimas, y Lee dice que exigir que el rescate se pagara mediante transferencia de dinero (todavía faltaban algunos años para Bitcoin) era una apuesta peligrosa. para los ciberdelincuentes detrás de Gpcode, porque los dejaba expuestos a ser rastreados por las fuerzas del orden.
Gpcode no fue un éxito arrollador (en el sentido de que no generó millones para sus creadores como lo hacen los ransomware hoy en día), pero fue notable porque significó que el ransomware estaba comenzando a abrirse paso, tanto en la comunidad de seguridad cibernética aún emergente como entre los legos.
Gpcode también ayudó a establecer algunos de los tropos populares en torno a los señuelos de phishing de ransomware: hoy en día, las ofertas de trabajo fantasmas se utilizan con frecuencia contra las organizaciones víctimas, particularmente cuando se ejecutan como parte de un ataque dirigido a través de un ejecutivo de alto rango, por ejemplo.
Innovación continua
Durante la década siguiente, la historia del ransomware se convirtió en una de innovación casi continua, a medida que los ciberdelincuentes se motivaron más para extorsionar dinero y evitar ser capturados y procesados.
El anonimato durante el proceso de pago era un problema particularmente espinoso que la clandestinidad criminal debía superar, dice Lee.
“En 2004, Gpcode tenía un único ingeniero de software que realizaba los ataques, y tenían el problema de cómo iban a conseguir que se les pagara el rescate de una manera que fuera fácil para la víctima, pero que proporcionara anonimato al delincuente”. él dice.
“Inicialmente, tenemos el auge de las monedas digitales, E-Gold y Liberty. [Reserve] por nombrar sólo dos, que eran mecanismos fuera de la industria bancaria tradicionalmente regulada para transferir valor entre individuos”, dice Lee. “Fueron, cómo deberíamos decirlo, abusados”.
La gran desventaja de estas monedas digitales es que ambas tenían un único punto de falla desde la perspectiva de los ciberdelincuentes, en el sentido de que las agencias de aplicación de la ley y los reguladores podían actuar para interrumpir el flujo de pagos ilícitos que las atravesaban, que por supuesto es exactamente lo que sucedió. .
“Esto coincide con el auge de las criptomonedas, lo que ofrece a los delincuentes una forma alternativa de cobrar su rescate a través de criptomonedas”, dice Lee.
“La otra gran innovación abordó el punto débil de los primeros ransomware: era un solo desarrollador y operador, por lo que vimos a mediados de la década de 2000 el desarrollo del primer ransomware como servicio.
“Los ingenieros de software malicioso que eran muy buenos escribiendo código pero tal vez no tan buenos distribuyendo ransomware o ideando señuelos de ingeniería social podrían centrarse en el código y luego desarrollar un portal de socios para que los ciberdelincuentes técnicamente menos sofisticados pudieran participar en los ataques. podrían ser contratados o formar una sociedad”, dice Lee. “Si dividen las tareas, será más eficiente”.
Aunque puede sorprender a algunos saber que el concepto de ransomware como servicio, o RaaS, tiene más de 10 años, surgió en un momento muy diferente y el ecosistema de ransomware tuvo que pasar por algunas evoluciones más para llegar a su presente. , forma devastadora.
A hoy
Lee explica: “El próximo gran cambio se produce en 2016, cuando la pandilla utiliza SamSam. Antes de eso, el ransomware era un ataque de mercado masivo, que distribuía tanto ransomware como fuera posible a tantos usuarios finales como fuera posible, introduciéndolo en las PC y exigiendo unos cientos de dólares a la víctima para recuperar lo que había en sus terminales.
“La gran innovación fue que la banda que distribuía SamSam elegía a sus víctimas de una manera diferente. En lugar de limitarse a los números, identificarían empresas, entrarían en sus redes y combinarían técnicas de piratería tradicionales: infiltrarse en la red, encontrar servidores clave en los que confiaran las empresas y llevar el ransomware a esos servidores clave.
“Al cifrar los archivos y detener la funcionalidad de esos servidores de claves”, dice Lee, “SamSam redujo todo el negocio a la mitad, y en ese momento la pandilla podría pedir un rescate mucho, mucho mayor”.
Esto no quiere decir que el ransomware dirigido al mercado masivo y centrado en el usuario final haya desaparecido; sigue siendo una amenaza y, en muchos sentidos, es más devastador para una persona promedio ser atacada por ransomware que para una persona común. corporación bien asegurada y regulada.
“Algunas personas se comunicaron conmigo con un padre anciano cuya computadora portátil fue atacada con ransomware y tenía las últimas fotos de su cónyuge fallecido, ¿hay alguna manera de recuperarla?” dice Lee.
“Es desgarrador y nueve de cada 10 veces la respuesta es no. Entonces esto no ha desaparecido y no desaparecerá. Las empresas pueden tener más que perder que un usuario final, pero eso no quiere decir que los usuarios finales no puedan sufrir un dolor significativo.
“Pero la gran cantidad de dinero para los malos está en las empresas, entrando en ellas, provocando perturbaciones de alto valor y destruyendo grandes cantidades de valor, porque las ganancias son mucho mayores”.
Esto nos lleva claramente a los desarrollos que hemos visto desde 2020, cuando el flagelo del ransomware realmente despegó y la seguridad cibernética salió de su nicho y comenzó a aparecer en los titulares nacionales. Todos ellos han estado bien documentados, incluido el aumento de los ataques de doble extorsión y el surgimiento de una extensa economía sumergida de afiliados y corredores. Incluso estamos viendo lo que parece una colaboración entre bandas de ciberdelincuentes con motivación financiera y operadores de ciberespionaje con motivación política.
Este año, hemos visto el comienzo de una nueva tendencia en la que las bandas de ransomware en realidad renuncian por completo al casillero del ransomware. El mes pasado, las autoridades australianas y estadounidenses publicaron nueva información de inteligencia sobre el trabajo de la banda de ransomware BianLian, que ha pasado a dedicarse únicamente a la extorsión sin cifrado.
¿Podría ser que el ransomware, en su forma tradicional, esté empezando a llegar al final de la línea?
Mirando hacia adelante
Probablemente no, dice Lee, mirando hacia el futuro, aunque todo será diferente: “Sabes que la TI aporta enormes beneficios a nuestras vidas y permite mucho, pero en cualquier lugar donde la TI esté creando valor, los delincuentes buscan formas de aprovechar y robar ese valor. El ransomware ha demostrado ser una forma muy rentable de hacerlo.
“Creo que para cualquier nueva forma en que utilicemos TI en el futuro cercano y mediano, podemos esperar que haya delincuentes buscando ganar dinero con eso, y una de las formas en que lo harán , con seguridad, será a través de ransomware”.
Desde los dolores de parto del ransomware hasta el aullido del frustrado y agraviado Joseph Popp, podemos trazar una línea clara hasta los grandes éxitos del ransomware de la década de 2020, y esta continuidad de la criminalidad y la innovación lleva a Lee a una conclusión simple.
“Necesitamos ser mucho más conscientes de que para cualquier cosa que toque TI, debemos pensar en la seguridad cibernética, debemos pensar en cómo los malos podrían alterarla, porque con seguridad, ellos también estarán pensando y alguien va a atacar”. para probarlo.
“La historia del ransomware ha sido de innovación constante y podemos esperar que esto continúe en el futuro”, afirma.