El ataque de ransomware CryptoLocker fue un ataque cibernético que utilizó el ransomware CryptoLocker que ocurrió desde el 5 de septiembre de 2013 hasta finales de mayo de 2014. El ataque utilizó un troyano que tenía como objetivo las computadoras que ejecutan Microsoft Windows , [1] y se cree que se publicó por primera vez en Internet el 5 Septiembre de 2013. [2] Se propagó a través de archivos adjuntos de correo electrónico infectados y a través de una red de bots Gameover ZeuS existente . [3] Cuando se activa, el malware encripta ciertos tipos de archivos almacenados en unidades de red locales y montadas mediante criptografía de clave pública RSA , con la clave privada almacenada solo en los servidores de control del malware. Luego, el malware mostraba un mensaje que ofrecía descifrar los datos si se realizaba un pago (ya sea a través de bitcoin o un cupón de efectivo prepago) antes de una fecha límite establecida, y amenazaba con eliminar la clave privada si pasaba la fecha límite. Si no se cumplía con el plazo, el malware ofrecía descifrar datos a través de un servicio en línea proporcionado por los operadores del malware, por un precio significativamente más alto en bitcoins. No había garantía de que el pago liberaría el contenido cifrado.
Aunque CryptoLocker se eliminó fácilmente, los archivos afectados permanecieron encriptados de una manera que los investigadores consideraron inviable de romper. Muchos dijeron que el rescate no debería pagarse, pero no ofrecieron ninguna forma de recuperar archivos; otros dijeron que pagar el rescate era la única manera de recuperar archivos que no habían sido respaldados . Algunas víctimas afirmaron que pagar el rescate no siempre condujo al descifrado de los archivos.
CryptoLocker se aisló a finales de mayo de 2014 a través de la Operación Tovar , que eliminó la botnet Gameover ZeuS que se había utilizado para distribuir el malware. Durante la operación, una empresa de seguridad involucrada en el proceso obtuvo la base de datos de claves privadas utilizadas por CryptoLocker, que a su vez se utilizó para construir una herramienta en línea para recuperar las claves y archivos sin pagar el rescate. Se cree que los operadores de CryptoLocker extorsionaron con éxito un total de alrededor de $3 millones a las víctimas del troyano. Otras instancias de ransomware basado en cifrado que han seguido han usado el nombre "CryptoLocker" (o variaciones), pero por lo demás no están relacionados.
CryptoLocker generalmente se propaga como un archivo adjunto a un mensaje de correo electrónico aparentemente inocuo , que parece haber sido enviado por una empresa legítima. [4] Un archivo ZIP adjunto a un mensaje de correo electrónico contiene un archivo ejecutable con el nombre de archivo y el ícono disfrazado como un archivo PDF , aprovechando el comportamiento predeterminado de Windows de ocultar la extensión de los nombres de archivo para disfrazar la extensión .EXE real. CryptoLocker también se propagó mediante el troyano y la botnet Gameover ZeuS . [5] [6] [7]
Cuando se ejecuta por primera vez, la carga útil se instala en la carpeta de perfil de usuario y agrega una clave al registro que hace que se ejecute al inicio. A continuación, intenta ponerse en contacto con uno de varios servidores de mando y control designados; una vez conectado, el servidor genera un par de claves RSA de 2048 bits y envía la clave pública de regreso a la computadora infectada. [1] [6] El servidor puede ser un proxy local y pasar por otros, frecuentemente reubicados en diferentes países para dificultar su rastreo. [8] [9]