El cibercrimen es un negocio muy lucrativo, de eso no cabe ninguna duda. Y lógicamente, hay ataques que funcionan mejor que otros, hablando de rentabilidad económica. El ransomware (malware que «secuestra» los archivos solicitando un rescate) es uno de los que más han crecido en número de ataques durante los últimos años, debido precisamente a que es uno de los más rentables. Eso sí, han tenido que evolucionar con el paso del tiempo, para lograr obtener una mayor recaudación. Ese es el caso del ransomware SamSam, que se ha sofisticado hasta convertirse en un ataque dirigido, logrando recaudar casi seis millones de dólares en tan solo un par de años.
El laboratorio de la firma de seguridad Sophos ha sido el que ha investigado este llamativo caso, siguiendo el rastro del dinero recaudado por el ransomware SamSam, que apareció por primera vez en diciembre de 2015. A diferencia de otros tipos de ransomware, Este usa una técnica de ataque dirigido que está controlada por un equipo cualificado.
Cuando logra irrumpir en la red de la víctima, la vigila y luego ejecuta el malware manualmente, para lograr un ataque a medida, practicamente personalizado, de forma que se asegura de causar el máximo daño a cambio para así poder pedir un rescate mayor. Un rescate que puede llegar hasta los 60.000 dólares.
A diferencia del ransomware más «tradicional», esta nueva forma de ataque no se propaga en grandes campañas de spam enviadas a una gran cantidad de personas que normalmente logran recaudar unos pocos cientos de euros de cada víctima.
los archivos se cifran para causar el mayor daño en el menor tiempo posible
Ataque desapercibido
«El reducido número de víctimas del ransomware SamSam lo ha hecho pasar desapercibido, impidiendo que se conozcan los detalles sobre cómo funciona y cómo se desarrollan los ataques», explican desde Sophos, aunque aseguran que han iniciado una «exhaustiva» investigación.
El ransomware es un ataque que no se puede propagar por sí mismo, sino que depende del factor humano para poder espacirse. Una característica diferenciadora de SamSam es que «se despliega en los ordenadores de la red de la víctima con las mismas herramientas con las que se despliegan las aplicaciones de software legítimas«, según apuntan las primeras investigaciones, lo que lo hace más indetectable. Una vez que obtiene el acceso a una red, el operador detrás del ataque usa herramientas para escalar sus privilegios al nivel de administrador, para posteriormente escanear la red en busca de objetivos valiosos.
Una vez se ha extendido por el equipo, se activan las copias del ransomware en segundos. Además, en cada uno de los dispositivos infectados, «los archivos se cifran de una manera calculada para causar el mayor daño en el menor tiempo posible«, señala la investigación.
En cuanto el equipo ya está infectado, el atacante espera para ver si la víctima hace contacto a través de un sitio de pago en la Dark Web al que se hace referencia en la nota de rescate que habrá aparecido en su equipo.