Los piratas informáticos utilizan ransomware para atacar a todas las industrias y devolver el acceso a los archivos de la víctima. Es un negocio lucrativo. En los primeros seis meses de 2023, las bandas de ransomware, aunque la mayoría de los gobiernos. Cada vez más, los profesionales de la seguridad se unen a las fuerzas del orden para proporcionar herramientas de descifrado gratuitas, liberando archivos bloqueados y eliminando la tentación de las víctimas de pagar.
Hay un par de formas principales en que los descifradores de ransomware crean herramientas: ingeniería inversa para detectar errores, trabajar con las autoridades y recopilar claves de cifrado disponibles públicamente. La duración del proceso varía según la complejidad del código, pero normalmente requiere información sobre los archivos cifrados, versiones no cifradas de los archivos e información del servidor del grupo de hackers. “El simple hecho de tener el archivo de salida cifrado suele ser inútil. Necesitas la muestra en sí, el archivo ejecutable”, dijo Jakub Kroustek, director de investigación de malware en la empresa de antivirus Avast. No es fácil, pero cuando funciona, rinde dividendos a las víctimas afectadas.
Primero, debemos entender cómo funciona el cifrado. Para un ejemplo muy básico, digamos que un dato podría haber comenzado como una oración reconocible, pero aparece como «J qsfgfs dbut up epht» una vez cifrado. Si sabemos que una de las palabras no cifradas en «J qsfgfs dbut up epht» se supone que es «gatos», podemos empezar a determinar qué patrón se aplicó al texto original para obtener el resultado cifrado. En este caso, es simplemente el alfabeto inglés estándar con cada letra adelantada un lugar: A se convierte en B, B se convierte en C y «Prefiero gatos a perros» se convierte en la cadena de tonterías de arriba. Es mucho más complejo para los tipos de cifrado utilizados por las bandas de ransomware, pero el principio sigue siendo el mismo. El patrón de cifrado también se conoce como «clave» y, al deducir la clave, los investigadores pueden crear una herramienta que pueda descifrar los archivos.
Algunas formas de cifrado, como el Estándar de cifrado avanzado de claves de 128, 192 o 256 bits, son prácticamente irrompibles. En su nivel más avanzado, los bits de datos de «texto sin formato» no cifrados, divididos en fragmentos llamados «bloques», se someten a 14 rondas de transformación y luego se generan en su forma cifrada (o «texto cifrado»). «Aún no tenemos la tecnología de computación cuántica que pueda romper la tecnología de cifrado», dijo Jon Clay, vicepresidente de inteligencia de amenazas de la empresa de software de seguridad Trend Micro. Pero, afortunadamente para las víctimas, los piratas informáticos no siempre utilizan métodos potentes como AES para cifrar archivos.
Si bien algunos esquemas criptográficos son prácticamente imposibles de descifrar, es probable que los piratas informáticos sin experiencia cometan errores. Si los piratas informáticos no aplican un esquema estándar, como AES, y optan por crear el suyo propio, los investigadores pueden buscar errores. ¿Por qué harían esto? Principalmente ego. «Quieren hacer algo ellos mismos porque les gusta o creen que es mejor por razones de velocidad», dijo Jornt van der Wiel, investigador de ciberseguridad de Kaspersky.
Por ejemplo, así es como Kaspersky descifró la cepa de ransomware. Era una cepa dirigida a empresas específicas, con una lista desconocida de víctimas. Yanluowang utilizó el cifrado de flujo Sosemanuk para cifrar datos: un proceso de uso gratuito que cifra el archivo de texto plano un dígito a la vez. Luego, cifró la clave utilizando un algoritmo RSA, otro tipo de estándar de cifrado. Pero había un error en el patrón. Los investigadores pudieron comparar el texto sin formato con la versión cifrada, como se explicó anteriormente, y aplicar ingeniería inversa a una herramienta de descifrado. De hecho, hay toneladas que lo tienen.
Los descifradores de ransomware utilizarán sus conocimientos de ingeniería de software y criptografía para obtener la clave del ransomware y, a partir de ahí, crearán una herramienta de descifrado, según Kroustek. Los procesos criptográficos más avanzados pueden requerir fuerza bruta o hacer conjeturas basadas en la información disponible. A veces, los piratas informáticos utilizan un generador de números pseudoaleatorios para crear la clave. Un verdadero RNG será aleatorio, claro, pero eso significa que no será fácil de predecir. Un pseudo-RNG, como lo explica van der Wiel, puede depender de un patrón existente para parecer aleatorio cuando en realidad no lo es; el patrón podría basarse en el momento en que se creó, por ejemplo. Si los investigadores conocen una parte de eso, pueden probar diferentes valores de tiempo hasta que deduzcan la clave.
Pero obtener esa clave a menudo depende de trabajar con las autoridades para obtener más información sobre cómo funcionan los grupos de hackers. Si los investigadores pueden obtener la dirección IP del pirata informático, pueden solicitar a la policía local que confisque los servidores y obtenga un volcado de memoria de su contenido. O, si los piratas informáticos han utilizado un servidor proxy para ocultar su ubicación, la policía podría utilizar analizadores de tráfico como NetFlow para determinar adónde va el tráfico y obtener la información desde allí, según van der Wiel. Esto es posible a través de fronteras internacionales porque permite a la policía solicitar una imagen de un servidor en otro país con urgencia mientras esperan que se procese la solicitud oficial.
El servidor proporciona información sobre las actividades del pirata informático, como a quién podría dirigirse o su proceso para exigir un rescate. Esto puede indicar a los descifradores de ransomware el proceso por el que pasaron los piratas informáticos para cifrar los datos, detalles sobre la clave de cifrado o el acceso a archivos que pueden ayudarles a realizar ingeniería inversa en el proceso. Los investigadores revisan los registros del servidor en busca de detalles de la misma manera que usted puede ayudar a su amigo a desenterrar detalles sobre su cita de Tinder para asegurarse de que sean legítimos, buscando pistas o detalles sobre patrones maliciosos que puedan ayudar a descubrir sus verdaderas intenciones. Los investigadores pueden, por ejemplo, descubrir parte del archivo de texto plano para compararlo con el archivo cifrado y comenzar el proceso de ingeniería inversa de la clave, o tal vez encuentren partes del pseudo-RNG que puedan comenzar a explicar el patrón de cifrado.
Trabajando con crear una herramienta de descifrado para el ransomware Babuk Tortilla. Esta versión de ransomware tenía como objetivo la infraestructura nacional, de fabricación y de atención médica, cifrando los dispositivos de las víctimas y eliminando copias de seguridad valiosas. Avast ya había creado un descifrador genérico Babuk, pero la variedad Tortilla resultó difícil de descifrar. La policía holandesa y Cisco Talos trabajaron juntos para detener a la persona detrás de la cepa y en el proceso obtuvieron acceso al descifrador Tortilla.
Pero a menudo la forma más fácil de crear estas herramientas de descifrado proviene de las propias bandas de ransomware. Tal vez se estén retirando o simplemente se sientan generosos, pero a veces los atacantes lo harán. Luego, los expertos en seguridad pueden usar la clave para crear una herramienta de descifrado y liberarla para que las víctimas la utilicen en el futuro.
Generalmente, los expertos no pueden compartir mucho sobre el proceso sin darles una ventaja a las bandas de ransomware. Si divulgan errores comunes, los piratas informáticos pueden utilizarlos para mejorar fácilmente sus próximos intentos de ransomware. Si los investigadores nos dicen en qué archivos cifrados están trabajando ahora, las pandillas sabrán que están tras ellos. Pero la mejor manera de evitar pagar es ser proactivo. «Si ha hecho un buen trabajo al realizar una copia de seguridad de sus datos, tiene muchas más posibilidades de no tener que pagar», afirmó Clay.