En los últimos años se ha visto un repunte notable en este género particularmente desagradable de software de ataque. El ransomware no es nada nuevo.

En 1991, un biólogo difundió PC Cyborg, el primer ransomware, enviando disquetes a otros investigadores del SIDA, por correo. A mediados de los 2000, Archiveus fue el primer ransomware en utilizar la encriptación, aunque hace mucho tiempo ha sido derrotado y puedes encontrar su contraseña en su página de Wikipedia. A principios del 2010, apareció una serie de paquetes de “ransomware” de la policía, llamados así porque pretendían ser advertencias de las fuerzas del orden sobre las actividades ilícitas de las víctimas y exigían el pago de “multas”; comenzaron a explotar la nueva generación de servicios de pago anónimo para obtener mejores pagos sin ser atrapados.

A lo largo de los años, el ransomware ha crecido de una curiosidad y una molestia a una crisis importante profundamente entrelazada con las agencias de espionaje secretas y la intriga internacional. Y los ataques de ransomware más grandes de la última mitad de la década juntos hacen un buen trabajo de contar la historia de ransomware a medida que crece.

CryptoLocker

Fue CryptoLocker, que estalló en la escena en 2013, el que realmente abrió la era de ransomware en gran escala. CryptoLocker se propagó a través de adjuntos dentro de mensajes de spam y utilizó el cifrado de clave pública RSA para sellar los archivos de usuario, exigiendo dinero en efectivo a cambio de las claves de descifrado. Jonathan Penn, Director de Estrategia de Avast, señala que en su apogeo a finales de 2013 y principios de 2014, más de 500.000 máquinas fueron infectadas por CryptoLocker.

CryptoLocker fue un poco primitivo, y finalmente fue derrotado por la Operación Tovar, una campaña de sombrero blanco que derribó la botnet que controlaba CryptoLocker, en el proceso de descubrir las claves privadas CryptoLocker utilizado para cifrar archivos. Pero, como dijo Penn, CryptoLocker había “abierto las compuertas” a muchas otras variedades de ransomware de cifrado de archivos, algunos de los cuales se derivaron del código de Crypto Locker y algunos de los cuales recibieron el nombre de CryptoLocker o una variante cercana, pero se escribieron desde cero. Las variantes en general cosecharon alrededor de $ 3 millones de dólares en honorarios de rescate; Uno de ellos era CryptoWall, que en 2015 representaba más de la mitad de todas las infecciones de ransomware.

TeslaCrypt

Al cabo de un año, sin embargo, surgió una nueva amenaza. Originalmente afirmando ser una de esas variantes de CryptoLocker, este ransomware pronto tuvo un nuevo nombre – TeslaCrypt – y un inteligente modus operandi. Se dirigió a los archivos auxiliares asociados con los videojuegos (partidas guardadas, mapas, contenido descargable, y similares). Estos archivos son preciados por los jugadores, pero más importante es que es muy probable que estos archivos se almacenen localmente en lugar de en la nube o en una unidad externa. En 2016, TeslaCrypt representó el 48% de los ataques de ransomware.

Un aspecto particularmente pernicioso de TeslaCrypt es que fue mejorado constantemente por sus creadores, a partir de algunos agujeros que permitieron reparar las computadoras infectadas a principios de 2016, fueron aprendiendo de sus errores, haciendo que los archivos sean esencialmente imposibles de restaurar sin la ayuda de los creadores del malware. Pero entonces, sorprendentemente, los creadores lo hicieron dos meses más tarde, anunciando que habían terminado con sus actividades siniestras y ofreciendo la clave maestra al mundo.

SimpleLocker

A medida que más y más archivos valiosos migran a dispositivos móviles, también lo hacen los estafadores de ransomware. Android fue la plataforma elegida para atacar, y a finales de 2015 y principios de 2016, las infecciones en teléfonos llegaron a un pico de ser 4 veces mayores que las de años anteriores. Muchos fueron los llamados ataques “bloqueadores” que simplemente difícultaron acceder a los archivos mediante buguear las interfaces que permitían acceder a los archivos, pero a finales de 2015 un ransomware particularmente agresivo llamado SimpleLocker comenzó a propagarse. Conocido como el primer ataque basado en Android para encriptar archivos y hacerlos inaccesibles sin el trabajo directo de los estafadores. SimpleLocker también fue el primer ransomware conocido que entregó su carga maliciosa a través de un descargador de troyanos, lo que hizo más difícil para las medidas de seguridad ponerse al día. Mientras SimpleLocker nació en Europa del Este, tres cuartas partes de sus víctimas están en los Estados Unidos.

Siempre recuerde que “la mayoría de los ataques de ransomware comienzan con un simple phish de correo electrónico”, dice el asesor de seguridad de Wombat, Alan Levine, “[los correos] a menudo son muy generales y no tienen orientación. Son vagamente dirigidos y ausentes de contenido personalmente atractivos. Pensar antes de clickear, es lo que se interpone entre nosotros y un desastre potencial”.