SOY UN RANSOMWARE
Otra forma de atacarnos
Una nueva amenaza circula por la red y según algunos analistas solo es cuestión de tiempo que empecemos a sufrirla en nuestras propias carnes. El año 2006 se presenta propicio para la irrupción de lo que ya se ha bautizado como RASOMWARE, una nueva forma de extorción que utilizan las tecnologías de encriptación.
Hablamos de los ataques RASOMWARE, también llamados ataques criptoviriologicos o extorsión criptovirica.
En el año de 1989 varias empresas y corporaciones médicas y farmacéuticas europeas recibieron un paquete por correo postal departe de una compañía denominada PC Cyborg (de los estados unidos en teoría). Este incluía un programa informático denominado “AIDS Informa tión” (información sobre el SIDA) supuestamente con información relativa a la susodicha pandemia que en aquellas fechas estaba en pleno apogeo como la nueva epidemia del siglo XX.
Los paquetes enviados, realizados con gran esmero y de aspecto totalmente profesional , contenía una presunta carta de aceptación de condiciones de licencia en un texto en el que advertía acerca de las condiciones de licencia con un texto en el que se advertía acerca de las condiciones de uso del software incluido y que , en resumidas cuentas , veía decir que la empresa PC Cyborg Corporación se reservaba el derecho de utilizar los mecanismos que considera oportunos para la determinación del programa en caso de que le usuario no cumpliera con los requisitos convenidos (pagar por el en un periodo estipulado si se seguía utilizando ). De la misma forma , se establecía que estos mecanismos informáticos podrían afectar a otras aplicaciones y ordenadores ,y se dejaba muy claro ,tanto en la misiva como en el mismo paquete, que no se debían utilizar estos programas si no se estaba preparado para pagar por ellos.
El paquete contenía un disquete que venía incluido un programa de instalación con una sencilla nota afirmativa acerca de los riesgos ,y un breve catalogo con algo de información adicional. Lo que hacia la apliacion una ves se instalaba sorprendió a pripios y a extraños, llevando a cabo una d las operaciones fraudulentas mas ingeniosas de la era de la informática en lo qu se ha considerado el primer caso de ataque Ransomware de la historia.
El instalador del disquete creaba un directorio oculto. A continuación renombraba el fichero ”Autoexec.bat” localizado en le directorio raíz del sistema operativo (en aquella época se trataba de un fichero esencial, junto con el archivo “Config.sys” para el arranque de la maquina y la inicialización de todo tipo de dispositivos ,como ratón, tarjeta grafica, etc.) y lo sustituía. Mientras tanto, el programa empezaba a contar el número de veces que el ordenador se iniciaba , mientras pasaba un numero determinado de reinicios una factura y una petición de pago al usuario con la que podía tener la clave de cifrado que permitía liberar la información “secuestrada” . Lo que realmente había hecho era encriptar la totalidad del disco duro.
Lo que en pricipio podría parecer una broma de mal gusto resulto ser una estafa en toda regla y a gran escala ,un fraude cuyas consecuencias podrían a ver sido mayores si no se hubiera actuado de forma inmediata y contundente. Se comprobó que, sorprendentemente la sociedad PC Cyborg realmente existía y tenia sede fiscal en Panamá, lo que permitió a las autoridades localizarla y proceder a la detención de cuatro sujetos y un cómplice que planeaba distribuir 200.000 copias de los paquetes una ves concluidas las pruebas iníciales de la primera tanda de la operación que alcanzaba la no menospreciable cifra de 10.000 envíos. Para fortuna de muchas victimas se ofreció un antídoto inmediato con el que solucionar el despropósito permitiendo que este no pasara a mayores.
Mas tarde, en el año 1995, los hermanos Young(Adam y Moti) desarrollaron un concepto teórico dentro del marco de una tesis desarrollada por Adam, mediante el cual un virus podía utilizar la criptografía pública para cifrar la información del usuario. Al año siguiente se realizo otro experimento con éxito, siempre teniendo un cuidado máximo para elcriptovirus no se libera y causa daños fuera del recinto de investigación. Arrancaba de esta forma el estudio de la aplicación de la criptografía en el desarrollo de programas maliciosos en un proceso de investigación de la manera en la que esta podía ser utilizada para consolidad, mejorar y desarrollar nuevas versiones de programas.
El estudio de esta nueva modalidad teórica del virus fue bautizada entonces como Criptovirologia y desde aquel momento se ha hecho todo lo posible por tener la disciplina limitada a los laboratorios, como una prueba de concepto, aunque él solo hecho de su existencia ha sido suficiente para que alguien lo retome y lo programe un criptovirus que se pueda distribuir por la red .Se habían sentado las bases de un nuevo fenómeno que amenaza hoy en día con extenderse por el ciberespacio ,y por ende, por nuestros hogares.
RANSOMWARE
Una prueba de concepto no es mas que demostrar que algo es posible sin hacerlo real ,aunque desafortunadamente sin las garantías que no llegue hacerlo algún día , y parece ser que ese día a llegado y en este caso en concreto la amenaza ya ha sido rebautizada con el nombre de Ransomware, un termino del que posiblemente oiremos hablar mucho en breve.
El termino deriva de la unión del vocablo ingles “ransom”, que viene a significar algo así como “rescate” o pago de cantidades monetarias para re sustituir la libertad de un ser u objeto determinada, y lo que viene siendo el sufijo “ware” que define algo las asociado a un programa informático (software, malware, etc.). Ransomware en concreto es un programa que sigfra la información personal del usuario y le asigna una contraseña, reemplazando luego todo el contenido de los archivos por las instrucciones acerca de cómo recuperar una contraseña, que liberara la información, esto es, determinar una determinada suma de dinero en una cuenta bancaria. En definitiva, y sin paños calientes, un método rastrero mediante el cual se encuentran los archivos del usuario con el fin último de obtener un rescate en dinero por su devoción.
Todo se iniciara con una inocente visita a alguna pagina web en la que, sin que nos demos cuenta, el servidor remoto, sirviéndose de un fallo localizado en Microsoft Internet Explorer(descubierto y reparado hace un año envía algún tipo de malware (un troyano por ejemplo) con un objetivo claro: localizar en el disco duro de la victima archivos con un tipo de extensión determinada (en concreto 15 tipos d extensiones diferentes) como pueden ser los diferentes tipos de formatos MO,PDF, Y MAS. Después codifica y elimina los originales.
Imaginemos que un buen día encendemos nuestro ordenador y a la hora de abrir nuestro documento de Word o tabla de Excel ,por ejemplo, comprobamos que se produce un echo extraño: en lugar de aparecer ese documento vital que hemos tardado días en terminar, aparece una ventana que dice;
“Si quieres obtener una clave para liberar el documento ,ingrese 200 euros en la siguiente cuenta corriente........”
A cambio de realizar el pago como rescate, el autor precederá a enviar la herramienta con la que descifrar los datos encriptados.
Se trata de un caso real (aunque de momento afortunadamente aislado y del que no sea documentado ninguna víctima hasta el día de hoy) que ya esta sucediendo y que demás corre el riesgo de tener cierto éxito, ya que llega el momento, el dilema de pagar una determinada suma, o perder una información valiosa, puede decantarse con facilidad por la alternativa de la extorsión lo que por supuesto , en ningún caso garantiza la solución del problema ya que muchos jamás entregaron clave alguna.
PGPCoder y Cryzip
Aun que los primeros ataques fueron documentados en Europa a finales de los 90, no existe información suficiente que permite asegurar que se trataba de un criptovirus ni se dispone del código del programa invasor para someterlo a análisis, lo que ha hecho que los primeros pasa de esta tecnología se hayan rodeado de un halo de leyenda y de cierta rumorología no demostrable salvo, claro está, el caso de PC Cyborg.
http://www.sahw.com/wp/archivos/2006/01/19/extorsion-criptoviral-y-ransomware-desde-el-troyano-aids-a-pgpcoder/
Sin embargo, a finales de mayo del 2005 se difundió la noticia de que el primer criptovirus , de nombre PGPCoder (llamado también Gpcode ), estaba circulando por la red y se colocaba a traces de una vulnerabilidad en el navegador Microsoft Internet Explorer (la MS-04023) . El nombre del virus quiere hacer creer a la victima que emplea el potente motor de PGP (Pretty Good Privacy, un reconocido producto para decodificar archivos y mails ), pero según se a comprobado esto es falso y solo se trataba de una táctica de ingeniería social con la única manera de recuperar los archivos secuestrados del PC.
Las compañías dedicadas a desarrollar antídotos alertaron a la comunidad informática e iniciaron el análisis del código descubierto (del que actualmente se conocen tres variaciones). Se pudo comprobar que, afortunadamente, el creador de este nuevo virus camuflado dentro de un troyano (Trojan.PgPcoder) había cometido algunos errores en el código del mismo, empleando un algoritmo de cifrado muy simple (basado en valores fijos) lo que permitía invertirlo y recuperar los archivos de manera sencilla.
El virus PGPCoder (PGPCoder.A) encriptar todos los archivos con cualquiera de las siguientes extensiones :ASC,DB,DB1,DB2,DBF,DOC,HTM,HTML,JPG,PGP,RAR,RTF,TXT,XLS Y ZIP. A continuación crea el archivo “tmp.bat” en el directorio raíz de la unidad “C:” y genera otro de nombre “autosav.ini” en el que almacena todo tipo de información acerca de toso los tipos de archivos que han sido encriptados en la maquina. Una ves que PGPCoder ha encriptado los ficheros, este archivo de proceso por lotes borra el troyano por el disco duro y crea el documento “ ATTENTION!!!!.TXT” tantas veces como archivos ha creado y en los mismos directorios en los que haya echo. E l documento tiene el siguiente texto:
Some files are coded.
To buy decoder mail:
With subject: PGPCoder
000000000032
Traduciendo, lo que dice es: “Algunos estan codificados. Para comprar el decodificador, envía un mensaje a la dirección: N781567@yahoo.com
Con el asunto: : PGPCoder 000000000032
Por el momento ninguna de las variaciones descubierta del criptovirus utilize claves publicas por lo que no pueden considerablemente una amenaza real para nuestra información. Sin embargo, no debemos por ello confiarnos pues es solo cuestión de tiempo que este tipo de virus comience a evolucionar.
En el 2006 el ataque criptovirus utiliza claves publicas por lo que no puede considerarse claramente una amenaza real para nuestra información. Sin embargo no podemos por ello cuestinarnos puesto que es solo cuestión de tiempo para que este virus comience a evolucionar.
Recientemente en marzo del 2006, el ataque que criptovirico que se ha descubierto es el denominado CryZip (Trojan.W32/Cryzip.A, también llamado Zippo), un Caballo de Troya que al ejecutarse, comprime y encripta con contraseña todos los archivos de cierta extensiones y con permisos de lectura y escritura, en todas las unidades de disco que sean accesibles. Cuando s e ejecuta, inyecta el código de su componente DLL en todas las aplicaciones que se encuentran en ejecución. Los ficheros comprimidos adoptaran nombres de ficheros de la siguiente forma : (Nombre de fichero)_CRYPT_ZIP. A continuación descarga en todas las carpetas de donde haya encriptado algún archivo el fichero de texto “AUTO_ZIP_REPORT.TXT” en el que pide al usuario una determinada cantidad de dinero (Ahora 300 dolares, suponemos que el precio del rescate ha sufrido una variación debido al incremento en el precio del IPC...) a cambio de desemcriptar los archivos para poder recuperarlos . La contraseña que el troyano utiliza (y que nunca es mostrada al usuario ) es la siguiente:
“C:\Program Files\Microsoft Visual Studio \VC98” a
Sin comillas.
Cryzip es el Segundo virus de su generación en aparecer en los últimos meses y supone una mala noticia para los usuarios de red que seguramente verán crecer los ataques de este tipo , en cantidad y “calidad” (cunado se habla en calidad se refiera a la revolución tecnológica).
Lo cierto es que, de momento, la amenaza tiene poca relevancia aunque no por sus efectos sino por su diseminación que por ahora es muy escasa .
CRIPTOVIRUS
Podríamos dividir los métodos criptográficos en dos grandes grupos. Por un lado tenemos la criptografía simétrica en la que se emplea una clave en la que te permite cifrar y descifrar los archivos(una sola para dos procesos). Parece ser que los primeros ataque de Ransomware detectados han empleado, afortunadamente, esta tecnología.
Por otro lado tenemos la criptografía pública o asimétrica en las que se utilizan dos claves. Una pública y otra privada. Un criptovirus se define como un virus informático que usa la clave pública, que como se ha visto, es una de los mejores sistemas de cifrado de datos. Cada usuario dispone de dos llaves : una primera que se llamas publica que se distribuye libremente y que sirve para poder enviar un mensaje codificado que solo un usuario podrá decodificar mediante la segunda: la llave privada. En este tipo de cifrado la información encriptada con una claves es descifrada por la otra siendo imposible hacerlo de otra manera.
En el caso de un ataque Ransomware o criptoviral ,la información del usuario será cifrado por una clave publica del creador del virus y únicamente será descifrada con otra clave privada que solo posee este y que solo entrega a quien entregue el rescate, siempre e un caso hipotético.
Podría decirse que el proceso de extorsión criptovirico de cifrado incluye tres fases. En la primera de ellas un programador desarrolla un criptovirus y los distribuye a traces de internet. Tras un periodo determinado, este se activa, lo que permite en este lapso de tiempo se pueda llegar a contagiar a cientos de maquinas.
En el momento en el que el virus se activa procede con la encriptación de la información del usuario utilizando la clave publica que estará en poder del autor del virus.
A partir de ese instante el virus informa al usuario a través de algún tipo de mensaje que la información de su disco duro ha sido encriptada y de que la única manera de recuperarla es, curiosamente ,es el único poseedor. Por lo general la petición de rescate se hace por medio de intercambio de mensajes cifrados en sitios públicos como pueden serlo como, foros algo que hace mucho más difícil si cabe el seguimiento de delincuentes que pueden estar detrás de esta acción delictiva.
La según fase de este tipo de ataques se centra en la victima puesto que se le plantea un disyuntiva en la que se debe decidir si se debe confiar o no, una vez realizado el pago, pueda recuperar su información . Si accede a pagar el rescate solicitado y al autor del virus cumple con su parte este enviara una clave privada que solo el posee, revelando de esta forma la utilizada para el ataque.
Finalmente el autor del virus manda la clave a la victima para descifrar los datos y de esta forma, el rescate se lleva a cabo.
CONCLUCION
Afortunadamente, por el momento las autoridades de estos criptovirus han programado cifrado bastantes simples, sin clave externa, o que puede invertir el algoritmo para recuperar los archivos sin caer en el chantaje. Las malas son que es demasiado factible que a corto plazo alguien realice un troyano similar basándose en claves aleatorias o criptografía de lave pública, y entonces nos encontraremos ante un problemas de dimensiones preocupantes Nievas Técnicas de Criptovirologia y Cleptografia (el conjunto de técnicas para hurtar información de modo subrepticio) se harán las riendas con ataque Ransomware más perfeccionados donde, a bote pronto ,solo se vislumbran dos soluciones posibles: o bien realizar copias de seguridad de forma periódica(algo realmente considerable) contando además de una defensa de nuestro sistemas que este considerablemente a las alturas de las amenazas tanto conocidas como desconocidas, o bien toquemos madera pagar un rescate.
Sin embargo surge una pregunta :
¿cómo es posible que se pida un rescate en forma de transferencia monetario en una cuenta bancaria y no sea posible de identificarlo y localizarlo y identificar positivamente al dueño de la misma? La respuesta es de que los nuevos servicios de internet que permiten hacer transferencias monetarias con un alto grado de anonimato, por ejemplo izando algún tipo de alias, sistemas de enmascaramiento y redes mixtas que pueden dificultar lo suficiente para realizar el seguimiento de las operaciones realizadas. Lo cierto es que de momento, el método de utilización de cuentas bancarias no esta perfeccionado lo que permite rastrearlas de forma sencilla.
Es lógico pensar que cuando se desarrollen criptovirus mas evolucionados las técnicas de cifrado que se utilicen en el proceso vayan aproximándose al modelo de Young, utilizando criptografía asimétrica fuerte, o incluso criptografía asimétrica, lo que hara imposible el descifrado de los archivos encriptados.
