Historia del ransomware: los 15 casos más curiosos

Illustration of virus detection

El sistema informático del Centro Médico Presbiteriano de Hollywood sufrió en febrero de 2015 el ataque de unos cibercriminales. El hospital pagó 15.000 euros de rescate para volver a tener acceso al sistema -que quedó cifrado tras abrir un archivo aparentemente inofensivo- y al historial médico de sus pacientes. No es un caso aislado: en la actualidad, el ransomware es la principal amenaza informática que llega a través de emails pirata.

Bien los saben empresas como Telefónica, una de las últimas afectadas, aunque sus sistemas de deteccion y respuesta funcionaron bine. Y aún así, las grandes organizaciones cibercriminales trabajan en mejorarlo día a día.

1.-‘AIDS’: 167 EUROS A PAGAR EN PANAMÁ (1989)

‘AIDS’ -SIDA en inglés- era un troyano que en 1989 se encontraba en algunos disquetes y que supuestamente ofrecía información sobre el SIDA. Una vez que se ejecutaba, encriptaba el disco duro del ordenador y para desbloquearlo pedía un rescate de 167€ que debían enviarse a un correo postal de Panamá.

2.-GPCODER, UNO DE LOS PADRES DEL RANSOMWARE MODERNO (2005)

Tuvieron que pasar tres lustros para que el ransomware volviera. Gpcoder apareció en mayo de 2005 y, en un principio, usaba técnicas de cifrado débiles que eran fáciles de superar. Usaba algoritmos simétricos, es decir, la clave para cifrar era la misma que para descifrar. Zippo y Archiveus fueron otros de los ransomwares primigenios.

3.-KROTTEN: EL UCRANIANO QUE PEDÍA TRES EUROS (2010)

Un ransomware ucraniano pedía en 2010 el pago de 30 grivnas -unos 3 euros- a un operador de telefonía móvil de este país para recibir una clave de desbloqueo. Este código malicioso bloqueaba el sistema operativo de diversas formas, cambiaba varias claves de registro y añadía mensajes soeces en ruso en el menú de inicio de Windows. Por suerte, no era muy difícil deshacerse de este virus.

4.-REVETON, EL TROYANO DE LA POLICÍA (2012)

Surge en 2012 y se le conoce como ‘el troyano de la policía’ porque en la pantalla aparece un mensaje de un cuerpo de seguridad del Estado señalando que el ordenador había sido usado para actividades ilegales como pornografía infantil. En algunas versiones aparecía la IP del ordenador, así como imágenes de vídeo procedentes de la cámara como si te estuviera grabando.

5.-DORKBOT ATACA SKYPE (2012)

‘Jaja ¿es esta tu nueva foto de perfil?’. Este mensaje, seguido de un enlace malicioso, hizo que en 2012 miles de usuarios de Skype se descargaran un archivo zip. Al pinchar empezaba a funcionar un programa que bloqueaba el programa durante 48 h. Si no se pagaban 177 euros en ese plazo, todos los archivos eran eliminados.

6.-CRYPTOLOCKER, MEDIO MILLÓN DE AFECTADOS (2013)

Distribuido originalmente a través de la botnet Zeus, en sus primeros meses logró que los afectados pagasen rescates que, en total, sumaban 2,7 millones de euros. A diferencia de otros ransomwares, no bloqueaba todo el ordenador, sólo archivos personales como fotos, documentos, imágenes… que guardaban en un servidor externo. Más de medio millón de ordenadores se han visto afectados desde 2013 por este peligroso virus, muchos de ellos a través de un falso email de Correos.

7.-CRYPTOWALL: OJO CON LOS ANUNCIOS DE DISNEY Y FACEBOOK (2014)

Nació como un clon de Cryptolocker, pero a principios de 2014 ya había adoptado entidad propia. Más de 600.000 sistemas fueron infectados -y 5.250 millones de archivos encriptados- entre marzo y agosto de ese año. Los usuarios resultaban infectados a través de los anuncios con malware ubicados en dominios de Disney, Facebook o del diario británico The Guardian. La versión 4.0 -la más actual- no sólo encripta los archivos, sino que también les cambia los nombres aleatoriamente.

8.-SYNOLOCKER CONTRA NAS (2014)

La popularización de los NAS, servidores de acceso a la red -algo similar a un disco duro con almacenamiento en red-, ha hecho que los cibercriminales pongan su foco en ellos. Synolocker entró en 2014 en los NAS de multitud de usuarios que no habían actualizado el sistema operativo DSM.

9.-CTB-LOCKER: TE DEJAN DESENCRIPTAR 5 DOCUMENTOS ANTES DE PAGAR (2015)

Polacos, sudafricanos y chilenos han sido los usuarios más afectados por este malware, según un informe de ESET. Los creadores de CTB-Locker dan la posibilidad de desencriptar cinco documentos al azar antes de pagar el rescate como una señal de ‘buena voluntad’. Una vez recuperados estos archivos, el virus guía a la víctima para que sepa cómo comprar 8 bitcoins -unos 1.500 euros en 2015-, dónde debe hacer la transacción, etc. El mensaje está en inglés, alemán, holandés, italiano…

10.-VAULTCRYPT TE PIDE UN RESCATE MIENTRAS TE ROBA TUS CONTRASEÑAS (2015)

Cuando un usuario trata de acceder a un archivo afectado por este virus le aparece un mensaje con una dirección a la que sólo se puede acceder desde Tor -en Internet profundo- para asegurar el anonimato del criminal. Tras llegar a esa página y registrarse -la contraseña viene en un archivo almacenado en el ordenador- se muestran los documentos encriptados y la cantidad a pagar. Vaultcrypt no sólo encripta, sino que también introduce un troyano que roba las contraseñas almacenadas en el sistema.

11.-TESLACRYPT, O LOS CRIMINALES QUE SE ARREPINTIERON (2015)

Gamers de cuarenta videojuegos, entre ellos el Call of Duty, el MineCraft o el World of Warcraft, sufrieron en 2015 la infección de Teslacrypt a través de un archivo oculto alojado en un blog de WordPress. Este virus encriptaba las partidas guardadas y pedía 443 euros en bitcoins o 1.000 vía Paypal para liberarlos. Su impacto fue tal que en mayo de 2016 sus creadores se arrepintieron, pidieron perdón y liberaron la clave para descifrar los documentos.

12.-CHIMERA, ¿SACARÁ A LA LUZ TUS DOCUMENTOS? (2015)

Los creadores de Chimera decidieron darle una nueva vuelta de tuerca a esta técnica de extorsión y amenazaron, a finales de 2015, con publicar toda la información bloqueada de la vícima si no se pagan los 620 euros de rescate en bitcoins. Sin embargo, por ahora los cibercriminales no han cumplido su palabra.

13.-KERANGER, EL PRIMERO EN INFECTAR LOS MAC (2016)

A pesar de que, en 2014, Kaspersky Lab detectó FileCoder, el primer ransomware para un sistema operativo Apple; KeRanger ha sido el primero en ser descargado por más de 6.000 usuarios a través de BitTorrent -un protocolo de intercambio de archivos- en marzo de 2016.

14.-LOCKY, 4.000 INFECCIONES A LA HORA (2015)

Locky -el hermano de Thor en el mundo del cómic- es uno de los ransomwares más potentes. En febrero de 2016 infectaba 4.000 ordenadores a la hora -100.000 al día-. Este virus da a sus creadores parte de los beneficios que, a su vez, obtienen con los rescates los criminales que compraron el malware. Clientes de la eléctrica española Endesa han sido víctimas de este ransomware tras ser infectados con un ataque de phishing que suplanta la identidad de la compañía.

15.-EL MUÑECO DE ‘SAW’ TE CUENTA CÓMO TE ENCRIPTA TUS ARCHIVOS (2016)

Uno de los últimos casos de ransomware es Jigsaw. En él, el muñeco de la película de terror ‘Saw’ aparece en la pantalla de la víctima con un mensaje que, como si fuera un videojuego, va contando en directo lo que te está haciendo mientras te amenaza: “si apagas el ordenador, todos los archivos se cifrarán más rápido”.

 


Fuente: One Hacker