Se revela la verdadera escala de la extorsión del ransomware de Bitcoin

El ransomware es uno de los tipos de malware más preocupantes que han surgido en los últimos años. Funciona restringiendo el acceso a los archivos de la computadora hasta que se pague un rescate. Entre las víctimas se encuentran el Servicio Nacional de Salud británico, la empresa de telecomunicaciones española Telefónica, el gigante petrolero ruso Rosneft y muchos otros.





Por lo general, se requiere que las víctimas paguen un rescate de Bitcoin equivalente a unos cientos de dólares para liberar sus archivos. Por lo general, el rescate aumenta con el tiempo hasta una fecha límite en la que supuestamente se destruyen los archivos. Muchas empresas e individuos no han tenido más remedio que pagar.

Y eso plantea una pregunta interesante. ¿Cuánto dinero han generado los programas de ransomware de Bitcoin para sus maestros maliciosos?

Valor en dólares estadounidenses de los rescates pagados a cuentas CryptoWall Bitcoin



Hoy recibimos una respuesta gracias al trabajo de Mauro Conti en la Universidad de Padua en Italia y un par de colegas. Estos tipos crearon una base de datos de cuentas de Bitcoin utilizadas por los delincuentes de ransomware y sumaron los rescates pagados en ellas. El resultado es un análisis completo de los logros obtenidos por los ciberdelincuentes en esta área emergente de delincuencia.

Si bien el ransomware puede solicitar el pago en especie de moneda, Conti y compañía se enfocan solo en aquellos que solicitan pagos en Bitcoin. Esto se debe a que las transacciones de Bitcoin se registran abiertamente y se pueden ver de forma gratuita. Entonces, en principio, debería ser posible calcular exactamente cuánto recibe cada cuenta. Nuestro objetivo era medir con precisión el valor en USD de estos pagos, dice Conti y compañía.

El equipo comenzó creando una base de datos de cuentas de Bitcoin asociadas con este tipo de actividad desde 2013, cuando el ransomware Cryptolocker se convirtió en el primero en solicitar el pago en Bitcoin. Encontramos veinte ransomware que cumplieron con nuestros criterios de selección, es decir, aquellos ransomware: (i) que usaban Bitcoin como al menos un modo de pago de rescate, y (ii) para los cuales al menos una dirección de Bitcoin es conocida públicamente, explican.



Para cada especie de malware, brindan una descripción general útil de la forma en que funciona y se propaga y cómo ha evolucionado con el tiempo.

No todos los pagos a estas cuentas son necesariamente rescates. Así que Conti y compañía desarrollaron una forma de distinguir los pagos de rescate de otros tipos. Lo hacen buscando pagos que correspondan a las cantidades específicas que exige el malware como rescate.

Finalmente, Conti y compañía suman todos los pagos de rescate recibidos por cada tipo de malware. Su trabajo revela el ransomware más rentable, pero también plantea dudas sobre la forma en que se utilizan estas cuentas y cómo se pueden rastrear.



Con mucho, la forma de ransomware más rentable resultó ser CryptoWall, que comenzó a infectar computadoras con Windows en noviembre de 2013. Cifraba los archivos usando el algoritmo de cifrado RSA-2048 y luego exigía un pago de hasta $1400 para liberarlos.

El malware se propagó a través de varios vectores, como enlaces de descarga enviados por la botnet de spam Cutwail. Algunas versiones del malware crearon una dirección de pago de Bitcoin única para cada usuario infectado y utilizaron el sistema Tor darknet para proporcionar enlaces anónimos a cada víctima.

Entre su lanzamiento y diciembre de 2015, las direcciones de Bitcoin asociadas con este malware recibieron $2,2 millones en pagos de Bitcoin y otros $2,3 millones en transacciones de mayor valor, que Conti y compañía sospechan que también pueden ser pagos de rescate.



Curiosamente, el valor total de los pagos recibidos por estas direcciones de Bitcoin superó los 45 millones de dólares. Conti y compañía no vincularon directamente la mayoría de estas transacciones con los montos de los rescates. Esa es una cantidad significativa de dinero y plantea la pregunta obvia de por qué fue el pago.

La clasificación completa de los proyectos de ransomware de Bitcoin por la cantidad de dólares estadounidenses que generaron es la siguiente:

Ransomware El rescate de Bitcoin recibió un valor en USD

Criptomuro 5.351,2329 2.220.909,12

CryptoLocker 1403.7548 449.274,97

Casillero DMA 339.4591 178,162.77

quiero llorar 47.1743 86,076.76

Criptodefensa 126,6960 63.859,49

NoPetya 4,0576 9.835,86

KeRanger 9999 4,173.12

Curiosamente, el brote de WannaCry recibió una gran cobertura mediática a medida que el malware se propagaba ampliamente. Pero el ataque fue frustrado por el investigador de seguridad cibernética Marcus Hutchins, quien descubrió y activó un interruptor de apagado incorporado que evitó que el malware fuera más destructivo.

El impacto general (incluidas las pérdidas financieras) debido a la infección de WannaCry podría haber sido peor... gracias a la detección temprana del interruptor de emergencia, que evitó que las computadoras infectadas propagaran WannaCry aún más, dicen Conti y compañía.

El equipo también analiza otras formas de malware que solicitaron, pero no parecen haber recibido, rescates sustanciales. Estos incluyen TeslaCrypt, Hi Buddy! y KillDisk.

Varios otros grupos han llevado a cabo análisis similares y han llegado a conclusiones similares. Sin embargo, Conte y compañía hacen que su conjunto de datos esté disponible públicamente para que otros puedan desarrollarlo. El conjunto de datos contiene un historial de transacciones detallado de todas las direcciones que identificamos para cada ransomware, dicen.

Los ciberdelincuentes usan Bitcoin porque proporciona una forma aparentemente anónima de recopilar y realizar pagos. Sin embargo, Bitcoin es seudónimo en lugar de anónimo. Eso significa que los usuarios pueden proteger su identidad siempre que ninguna de sus transacciones pueda vincularse a su identidad real. Pero tan pronto como una sola transacción se vincula a sus datos de identificación personal, todas sus transacciones se vinculan de la misma manera.

Una analogía útil es la de los autores que publican bajo un seudónimo. Siempre que la identidad del autor nunca se vincule a ninguno de los artículos seudónimos, él o ella permanecerá en el anonimato. Pero si se vincula a un solo artículo seudónimo, se vincula a todos ellos y se pierde el anonimato.

Así que la protección seudónima es algo frágil. Una sola transacción que vincula una cuenta de Bitcoin a una cuenta personal puede revelar la identidad de un ciberdelincuente. Y los datos personales se filtran todo el tiempo en las transacciones basadas en la web.

El año pasado escribimos sobre las imperfecciones en el anonimato de las transacciones de Bitcoin. Eso debería proporcionar alguna esperanza de rastrear a estos criminales.

Conti y compañía se han fijado este tipo de investigaciones como objetivo de futuro. Intentaremos rastrear cómo se usaron los rescates recibidos y por quién, dicen.

Eso es valiente y ambicioso. Pero también plantea una pregunta: ¿qué están haciendo los organismos encargados de hacer cumplir la ley mientras tanto?

Ref: arxiv.org/abs/1804.01341 : Sobre la importancia económica de las campañas de ransomware: una perspectiva de las transacciones de Bitcoin

esconder