El chantaje cibernético: la historia de Gpcode

El 7 de junio del 2006 importantes noticias aparecieron en el diario del Analista de Kaspersky Lab.

“Kaspersky Lab ha logrado descifrar el nuevo virus CPcode con clave de 660 bit. Además,nos pusimos en contacto con la compañía de hosting y supimos que se había eliminado el archivo del virus del sitio.”

Los analistas de Kaspersky Lab lograron descifrar la clave de cifrado de 660 bit RSA. Esta fue la victoria más reciente contra un chantajista cibernético que había estado acosando a los usuarios en Rusia durante más de un año y medio.

El chantaje cibernético es fácil de organizar

Es fácil imaginar cuán molesto puede estar un usuario cuando se despierta una soleada mañana de junio y descubre que sus archivos están inutilizados: ya sea porque no puede abrir algunos o, en el caso de archivos de texto, porque contienen basura. Y esto no les sucede sólo a los documentos MS Office, sino a más de 80 diferentes tipos de archivos.

Sin embargo, unos cuantos archivos de texto sí se abren. Son archivos con nombres sospechosamente simples como readme.tex. Pero el texto que contienen estos archivos no agradará a las víctimas. Les indica que hay una forma fácil de recuperar sus datos – simplemente comprando un programa decodificador que abrirá ‘ciertos files’, es decir, los que habían sido cifrados con la clave de cifrado RSA

Desafortunadamente, esta no era una escena de una película sobre crimen cibernético, sino algo que está ocurriendo año tras año. Más aún, hasta hace poco no estaba claro de que manera los ordenadores víctima se infectaban.

Gracias al trabajo de detectives realizado por Kaspersky Lab, los analistas de virus al fin sabemos la forma de propagación de Gpcode, al menos la ola de las nuevas variantes que golpeó a Rusia a principios de junio.

El correo que mostramos a continuación (traducido del ruso) se distribuyó usando tecnologías de envío masivo y fue el primer paso en el proceso de infección:

El correo tenía un archivo de documento MS Word adjunto, llamado anketa.doc. (Anketa significa formulario de solicitud en ruso). Este correo en realidad contenía un programa malicioso llamado Trojan-Dropper.MSWord.Tored.a. Cuando el destinatario abre el documento adjunto, un macro malicioso instala otro troyano – Trojan-Downloader.Win32.Small.crb – en el ordenador de la víctima Este troyano luego descarga Gpcode desde msk.ru/services.txt y lo instala en el ordenador de la victima.

Gpcode luego escanea todos los directorios accesibles y cifra archivos con ciertas extensiones, como txt, .xls, .rar, .doc, .html, .pdf, etc. También cifra las bases de datos de los clientes de correo

A continuación, el virus GpCode y los troyanos que se utilizan para instalarlo, se eliminan, dejando un archivo llamado readme.tex en cada carpeta que contenga archivos cifrados. Este archivo de texto proporciona la información para entrar en contacto al escritor del virus.

El autor de GpCode cambiaba la versión del virus ubicado en el sitio web a intervalos regulares. El/Ella también cambiaba la dirección de correo electrónico existente en el archivo ‘readme.text’ Cuando una víctima se ponía en contacto con el autor, ella/el ofrecía un programa decodificador. Como es natural, éste tenía un precio. El dinero tenía que ser depositado en una cuenta Yandex (un gran portal web ruso, que proporciona un sistema de pagos similar al PayPal)

La infección y el proceso de extorsión ahora estaban claros, pero recién después de mucho tiempo de cuando se recibieron los primeros archivos cifrados a fines del 2004.

El primer paso es el más difícil

Los analistas de virus de Kaspersky Lab encontraron por primera vez GpCode en diciembre del 2004. Los usuarios informaban que sus archivos habían sido cifrados y que nadie podía establecer qué programa se había utilizado para cifrarlos. La única pista que dejó el virus (además de los archivos cifrados) era un archivo de texto llamado !_Vnimanie_!.txt (‘vnimanie’ es la palabra que en ruso se usa para ‘atención’) Este archivo señalaba el origen ruso del virus: el nombre del archivo y el texto que contenía estaban en ruso y algunos archivos cifrados estaban en un formato que se encuentra sólo en Rusia.

La primera ola de Gpcode golpeó mayormente a usuarios de negocios: los bancos rusos, agencias de publicidad y de inmobiliaria, y otras organizaciones que utilizan una gran cantidad de documentos. Fuera de Rusia solo se afectó a unas cuantas compañías.

El escritor del virus trataba de engañar a los usuarios y analistas colocando una referencia al PGP- “PGPcoder” en los encabezamientos de los archivos cifrados. Por suerte, el autor GpCode en al principio usaba una clave de cifrado propia, que los analistas de Kaspersky Lab descifraron con facilidad.

La segunda ola de infecciones Gpcode golpeó en Junio 2005 y otra vez, el blanco fueron únicamente los usuarios rusos. La clave de cifrado que utilizaba era más compleja que la que se implementó en diciembre del 2004, pero aún era más o menos simple de descifrar para los analistas de Kaspersky Lab: después de todo, ya habíamos visto más de 25 variaciones de la primera versión de Gpcode. Y lo mejor de todo es que esta vez pudimos obtener algunas muestras del programa que se usaba para cifrar los datos.

Hasta aquí todo estaba bien. Pero una pregunta permanecía sin respuesta – ¿Cómo llegaba el virus a los ordenadores de las víctimas? Como iban las cosas, éste no era el único rompecabezas que nuestros analistas tendrían que solucionar.

La falta de conocimiento puede ser algo peligroso

Pareciera que el creador de Gpcode decidió que el correo negro era una forma fácil de ganarse la vida, y que su criatura necesitaba algunas mejoras. El/ella pasó casi 6 meses estudiando sistemas de cifrado y a principios del 2006 decidió probar sus nuevas fuerzas.

El 26 de enero del 2006, interceptamos otra variante, Gpcode.ac, que fue la primera en usar clave de cifrado RSA.

RSA es una de las claves públicas de cifrado más conocidas y más seguras.

El orgulloso chantajista cibernético hasta creó un sitio web; “RSA para principiantes”.

El uso del cifrado RSA fue un gran avance respecto a las simples técnicas de cifrados que utilizaba el chantajista cibernético. Pudimos mantener esta situación bajo control, pero otra versión de Gpcode, lanzada en abril, claramente mostraba que el autor continuaba perfecionando sus destrezas de cifrado.

Esta última variante utilizaba parte del algoritmo RSA, como lo había hecho en versiones anteriores, pero esta vez la clave de cifrado era 67 bits, en vez de 56 bits. No era un gran avance, pero si era una señal de lo que vendría después.

Se utilizaron las nuevas variantes para lanzar un ataque masivo contra los usuarios rusos de Internet a principios de junio del 2006.

¿La vuelta final?

A principios de junio 3 variantes de Gpcode aparecieron en el lapso de 5 días. Cada nueva variante utilizaba una clave de cifrado cada vez mayor: la primera variante, Gpcode.ae tenía una clave RSA de 260 bit, mientras que Gpcode.af tenía 330 bits. Mientras mayor es la clave, es más difícil para las compañías antivirus descubrir la clave de cifrado.

La situación era un verdadero reto.

Nos tomó 10 horas de trabajo humano y algo del poder en sistemas para destruir la clave 330 bit utilizada por Gpcode.af. Añadimos las rutinas de descifrado a nuestra base de datos y lanzamos un suspiro de alivio.

Sin embargo, nuestro alivio fue prematuro – el próximo día llegó Gpcode.ag – con clave de 660 bit. En la actualidad, la mayor clave publicada en el sitio web de RSA es de 640 bits. Aún utilizando un ordenador con un procesador de 2.2 GHz, tomaría 30 años descifrar una clave así. Pero nosotros publicamos los métodos de detección y descifrado el mismo día en que se descubrió Gpcode.ag.

¿Cómo logramos hacerlo? Bien, ese es un secreto de la compañía. ¿Y que nos depara el futuro? Esa no es una pregunta fácil ni agradable.

Por un puñado de rublos

Uno nunca debe subestimar a su oponente, aún después de haberle vencido. El autor Gpcode planificó los ataques con mucho cuidado, utilizando métodos de ingeniería social para difundir el virus.

Se enviaba spam que contenía malware a las direcciones de correo electrónico del sitio job.ru, uno de los principales sitios web de contratación en Rusia La gente que dejaba su información de contacto, recibía un correo electrónico que parecía ser de una importante compañía occidental. Naturalmente, ellos habían presionado la tecla en el archivo adjunto que supuestamente contenía detalles del paquete financiero. Dadas las circunstancias, sería difícil que alguien se pudiera resistir abrir el mensaje.

Abrir el archivo adjunto no parecía provocar ningún daño. Pero un troyano se instalaba en el ordenador de la víctima y casi inmediatamente descargaba el Gpcode. Esto significaba que muy pocas personas relacionaban el correo electrónico de contratación con el cifrado de sus archivos, lo que dificultaba determinar el vector original de la infección.

Es realmente una pena que se gaste tanta energía para propósitos criminales. Además, es sorprendente que el autor continuara creando más variantes por tan poco dinero: Al principio se pedía 2.000 rublos (aproximadamente $70) para descifrar los archivos. Al principio, en Diciembre del 2004, el precio solicitado era de 1000 rublos, aunque los mensajes ubicados en el Internet mostraban que aceptaría aunque fueran 500 rublos (aproximadamente $20).

Obviamente, el autor Gpcode está interesado en el volumen, no en las sumas individuales. El/ella contaba claramente con el hecho de que las víctimas encontrarían más fácil enviar una suma de dinero relativamente pequeña, en vez de contactar una compañía antivirus o a las fuerzas de seguridad.

El éxito estimuló al chantajista a repetir el crimen. De acuerdo a las leyes rusas, la policía no puede abrir un caso hasta que una víctima haga una denuncia formal. Desafortunadamente, la mayoría de las victimas o no son prevenidas o tienen razones personales para llegar a estos acuerdos. Es una gran pena, ya que significa que los criminales cibernéticos, como los autores del Gpcode, continúan impunes.

Proteja sus datos

Uno de los aspectos más sorprendentes de la historia Gpcode es que un gran porcentaje de las víctimas que se pusieron en contacto con Kaspersky Lab durante los ataques de junio tenían instalado el antivirus Kaspersky . Es algo sorprendente, ya Kaspersky Anti-Virus bloquea los ataques tres veces. Primero, se detecta el archivo adjunto infectado como un troyano – Dropper.MSWord.Tored.a. Luego el descargador que descargana Gpcode se detecta como un troyano, Downloader.Win32.Small.crb. Finalmente, se detecta el mismo Gpcode. Inclusive los usuarios cuyas bases de datos antivirus no estaban actualizadas, estaban protegidos ya que la mayoría de las modificaciones Gpcode podían ser detectadas desde enero del 2006.

Obviamente, las victimas habían desactivado su solución antivirus o habían elegido ignorar las advertencias que mostraba el programa antivirus. Los analistas de virus Kaspersky Lab incluyeron el método de descifrado y desinfección en la actualización de la base de datos antivirus. Inclusive se crearon herramientas especiales para restaurar las bases de datos en las bases de datos postales que fueron dañadas cuando los correos de los clientes no pudieron reconocer el formato de los archivos cifrados. Sin embargo, algunos usuarios perdieron datos importantes.

En el transcurso de los años pasados, las compañías antivirus se han topado con otro código malicioso que se utiliza para extorsionar a los usuarios. Dos ejemplos son Cryzip y MayArchive, que en el 2006 infectaron a usuarios en los Estados Unidos y Gran Bretaña. Ambos programas comprimen archivos utilizando una contraseña desconocida que es tan difícil de descifrar como la clave de cifrado de Gpcode.

Estos programas demuestran que utilizar códigos maliciosos para extorsionar a los usuarios no es un fenómeno exclusivamente ruso. También demuestran que es esencial hacer copias de seguridad de sus datos a intervalos regulares. ¿Por qué facilitarles la vida a los criminales cibernéticos?

La historia de Gpcode nos da varios mensajes. Primero, usted nunca sabe cuando llegará el próximo peligro o que daño hará a su ordenador. Segundo, bajo ninguna circunstancia, se debe pagar dinero al autor de tales programas maliciosos, en vez de eso, los usuarios deben contactar a una compañía antivirus que sea capaz de ayudar. Y para terminar, aunque sea aburrido y ralentice un poco su ordenador, para proteger sus datos es imprescindible instalar una protección antivirus y actualizarla a intervalos regulares.