24 enero 2025

Entrevista de seguridad: Martin Lee, Cisco Talos

9 min read

Lo primero que vale la pena saber primero. ransomware Locker es que su uso estuvo claramente motivado por la venganza más que por el crimen. Lo segundo que hay que saber es que no había ningún hablante de ruso.

De hecho, su autor, Joseph Popp, creció en Ohio y se educó en la Universidad de Harvard. Era un antropólogo, biólogo y experto en VIH/SIDA, que trabajó estrechamente con la Organización Mundial de la Salud (OMS) en África, y fue ignorado para un trabajo allí, algo que le llevó al aparente colapso mental que llevó a la idea. de ransomware.

D troyano del SIDA Ese pop es una pieza de software común según cualquier estándar “discutido” en el mundo en diciembre de 1989. Técnicamente, era en realidad un codificador de denegación de servicio (DOS), que reemplazaba el archivo AUTOEXEC.bat utilizado para ejecutar comandos cuando se inicia el sistema informático.

Luego cuenta el número de ciclos de arranque del sistema hasta llegar a 90, momento en el que oculta directorios y cifra los nombres de los archivos de la unidad C del sistema. La víctima, u objetivo, vio entonces un mensaje informándole que sus sistemas habían sido infectados con un virus.

“Recuerden, no existe cura para el SIDA”, decía escalofriantemente el mensaje.

¿Cómo se contagiaron? Pop envió 20.000 disquetes a los colaboradores de la conferencia de la OMS sobre el SIDA y creó lo que ahora conocemos como señuelos de phishing denominados “Información sobre el SIDA – Disquetes introductorios”.

A las víctimas se les pidió que enviaran $189 (alrededor de $480, o £378 ajustados en 2024) a un número de apartado postal de PC Cyborg Corporation en Panamá. El software incluye un acuerdo de licencia de usuario final (EULA) que informa a los “usuarios” que serán responsables del costo de “arrendarlo”.

Pop, que fue arrestado en Estados Unidos y extraditado al Reino Unido, nunca fue juzgado después de que un juez británico dictaminara que no estaba mentalmente apto para hacerlo: desarrolló el hábito de usar un condón en la nariz, rizadores en la barba y cajas de cartón. . En su cabeza, según informaron los medios de la época. No está claro si se trató de una estratagema deliberada y no de una expresión de locura. De vuelta en Estados Unidos, Pope abrió un santuario de mariposas y un jardín tropical en el norte del estado de Nueva York y murió en 2007.

Reflexionando sobre la extraña historia detrás del troyano del SIDA, Martín LeeEn líder técnico de investigación de seguridad Cisco Talos La Unidad de Inteligencia e Investigación describió el malware como la creación de “un genio criminal loco”.

“Era realmente algo completamente nuevo, una nueva dimensión que no se había abordado antes”, dijo Lee a Computer Weekly. “Si pensamos en 1989, Internet todavía consistía básicamente en una docena de computadoras en las universidades y en el ejército. Internet, tal como la conocemos, no se cerró, la World Wide Web no se cerró. La mayoría de las computadoras no tenían redes, e incluso las unidades de disco duro eran un extra opcional de lujo.

“Todas estas cosas que ahora damos por sentado (distribución a través de una red, pago mediante criptomonedas) nada de eso existía. Fue un ataque bastante limitado… no se sabe, pero no se cree que nadie haya pagado el rescate”.

Además, en 1989 la profesión de ciberseguridad no existía en su forma actual. “No estaba ni cerca de lo que es hoy. Era un mundo diferente”, afirma Lee, que describe la tecnología de la información de aquellos días como “prehistórica”.

“El término ciberseguridad no existía y la industria no existía. Había personas que podríamos reconocer como profesionales de la seguridad de la información, pero tendían a estar en entornos que requerían autorizaciones de seguridad, como el ejército o los gobiernos. Sería una comunidad muy unida donde todos se conocerían.

“Ciertamente en ese momento, el primer ransomware no causó gran revuelo en las noticias”, añadió.

Antes de su tiempo

Que Pop estaba algo adelantado a su tiempo es evidente en el hecho de que la idea del ransomware no volvió a surgir hasta mediados de los años 90, cuando académicos e informáticos empezaron a jugar con la idea de crear virus informáticos. o malware. Funcionalidad con criptografía.

Pero aún así, el mundo pasó otra década en feliz ignorancia antes de los primeros intentos del tipo de ataque criminal de ransomware que vimos en la década de 2020.

Código GP, como se dijo, Apareció por primera vez en Rusia en diciembre de 2004.Hace 20 años, cuando comenzaron a surgir informes de que los archivos de las personas estaban siendo cifrados mediante alguna nueva y extraña forma de ciberataque.

“Finalmente, resultó que una persona, si no recuerdo mal, estaba recopilando información de sitios de empleo rusos y enviando correos electrónicos a quienes buscaban empleo, diciendo: ‘Oye, queremos que solicites este trabajo'”, dijo Lee.

“El documento señuelo pretendía ser un formulario de solicitud de empleo, pero en realidad era un ransomware que cifraba archivos y el rescate debía pagarse mediante transferencia de dinero. Este es realmente el primer ransomware criminal moderno cuyo objetivo (ganar dinero) es claro”.

Gpcode era “increíblemente primitivo” en lo que respecta al ransomware: utilizaba una clave pública RSA de 600 bits para cifrar los archivos de sus víctimas, y Lee dijo que la demanda de rescate por las transferencias de dinero (todavía faltaban algunos años para Bitcoin) era una apuesta peligrosa. Para los ciberdelincuentes detrás de GPcode, esto los deja expuestos a ser rastreados por las fuerzas del orden.

Gpcode no fue un éxito arrollador (no generó millones para sus creadores como el ransomware actual), pero es notable que significó que el ransomware todavía estaba comenzando a triunfar tanto en la naciente comunidad de ciberseguridad como entre el público en general.

GPcode también ayudó a establecer algunos tropos populares en torno a los señuelos de phishing de ransomware: hoy en día, las ofertas de trabajo fantasmas se utilizan a menudo contra organizaciones víctimas, especialmente cuando se ejecutan como parte de un ataque dirigido por un ejecutivo de alto rango, por ejemplo.

Innovación continua

Durante la siguiente década, la historia del ransomware se convirtió en una de innovación casi constante, a medida que los ciberdelincuentes se motivaron más para extraer dinero y evitar el arresto y el procesamiento.

El anonimato durante el proceso de pago era un tema particularmente espinoso que la clandestinidad criminal necesitaba superar, dijo Lee.

“En 2004, un único ingeniero de software de Gpcode ejecutó un ataque de operador de barra diagonal y tuvo el problema de cómo entregar el rescate de una manera que fuera fácil para la víctima, pero anónima para el perpetrador”. el dijo

“Principalmente, tenemos el aumento de las monedas digitales, E-Gold y Liberty (Reserva) Por nombrar sólo dos, que eran procesos fuera de la industria bancaria tradicionalmente regulada para transferir valor entre individuos”, dijo Lee. “Fueron, cómo deberíamos decirlo, abusados”.

La principal desventaja de estas monedas digitales es que ambas tienen un único punto de falla desde la perspectiva de los ciberdelincuentes, en cuyo caso las agencias de aplicación de la ley y los reguladores pueden eludirlas para interrumpir el flujo de pagos ilícitos, lo que ciertamente ha sucedido. .

“Esto coincidió con el auge de las criptomonedas, dando a los delincuentes una forma alternativa de cobrar su rescate a través de criptomonedas”, dijo Lee.

“La otra gran innovación fue abordar el punto débil de los primeros ransomware: si era un desarrollador y operador, por lo que vimos el desarrollo del primero a mediados de la década de 2000. Ransomware como servicio.

“Los ingenieros de software malicioso que eran muy buenos escribiendo código pero que no podían idear la distribución de ransomware o señuelos de ingeniería social podrían centrarse en el código y luego crear un portal de socios donde los ciberdelincuentes técnicamente menos sofisticados pudieran participar en el ataque; podrían ser contratados. , o puede formar una sociedad”, dijo Lee. “Si dividen las tareas, será más eficiente”.

Aunque a algunos pueda sorprender saber que el concepto de ransomware tiene más de 10 años, surgió en un momento muy diferente y el ecosistema de ransomware tuvo que pasar por varias evoluciones hasta llegar a su presente. , forma destructiva.

A hoy

Lee explica: “El siguiente gran cambio se produjo en 2016. Con la pandilla usando Samsum. Antes, el ransomware era un ataque de mercado masivo, que distribuía tanto ransomware a tantos usuarios finales como fuera posible, lo llevaba a las PC y exigía cientos de dólares a la víctima para recuperar lo que tenía en su terminal.

“La gran innovación fue que las bandas que distribuían samsum elegían a sus víctimas de forma diferente. En lugar de limitarse a los números, identificarán empresas, penetrarán en sus redes y combinarán técnicas de piratería tradicionales: penetrarán en la red, encontrarán servidores clave en los que confían las empresas y colocarán ransomware en esos servidores clave.

“En términos de cifrar archivos y cerrar esos servidores clave”, dijo Lee, “Samsom ha reducido todo el negocio a la mitad, y en ese punto la pandilla puede exigir un rescate mucho, mucho mayor”.

Si bien no quiere decir que el ransomware de mercado masivo y centrado en el usuario final haya desaparecido, sigue siendo una gran amenaza y, en muchos sentidos, más devastador para la persona promedio que ser infectado por ransomware. Corporación regulada y bien asegurada.

“Algunas personas se pusieron en contacto con un padre anciano cuya computadora portátil fue atacada por ransomware y tenía la última foto de su esposa muerta, ¿hay alguna forma de recuperarla?” dijo Lee.

“Es desgarrador y nueve de cada 10 veces la respuesta es no. Entonces, no se ha ido y no se irá. Las empresas pueden tener más que perder que los usuarios finales, pero eso no significa que los usuarios finales no puedan sufrir un dolor significativo.

“Pero hay mucho dinero en el negocio para los malos, entrando en el negocio, creando disrupciones de alto valor y destruyendo mucho valor, porque las ganancias son muy altas”.

Esto nos lleva muy bien a los desarrollos que hemos visto desde 2020, cuando el miedo al ransomware realmente despegó y la ciberseguridad comenzó a emerger de su nicho y a aparecer en los titulares nacionales. Todo esto está bien documentado, incluido el aumento de los ataques de doble extorsión y el surgimiento de una economía clandestina masiva de colaboradores y corredores. Incluso vemos lo que parece ser una cooperación entre bandas de cibercriminales con motivación financiera y operadores de ciberespionaje con motivación política.

Este año, hemos visto el comienzo de una nueva tendencia en la que las bandas de ransomware abandonan por completo el casillero del ransomware. El mes pasado, las autoridades australianas y estadounidenses publicaron nueva información de inteligencia sobre el trabajo de la banda de ransomware Biennial, que ha pasado a la extorsión sin cifrado únicamente.

¿Podría ser que el ransomware, en su forma tradicional, esté empezando a llegar al final de la línea?

Mirando hacia adelante

Probablemente no, dice Lee, mirando hacia el futuro, aunque todo será diferente: “Sabes que la TI aporta mucha positividad a nuestras vidas y permite muchas cosas, pero dondequiera que la TI esté creando valor, los delincuentes buscan formas de aprovecharse y robar”. ese valor. Ransomware es su porque ha demostrado ser una forma muy rentable de hacerlo.

“Creo que cualquier forma nueva que usemos TI en el futuro cercano y mediano plazo, podemos esperar que los delincuentes quieran ganar dinero con ello, y una de las formas en que lo harán, sin duda , será a través de ransomware”.

Desde los gritos de un Joseph Popp frustrado y enojado hasta los dolores de parto del ransomware, podemos trazar una línea clara para los grandes éxitos del ransomware de la década de 2020, y esta continuidad de crimen e innovación lleva a Lee a una conclusión simple.

“Tenemos que ser más conscientes de que tenemos que pensar en la seguridad cibernética para tocar la TI, tenemos que pensar en cómo los malos pueden alterarla, porque seguramente ellos van a pensar y alguien lo hará. intentarlo

“La historia del ransomware es de innovación constante y podemos esperar que eso continúe en el futuro”, afirma.

Source link