No todos los hackers son genios y un error de novato lo demuestra

Por

Bloomberg — Durante más de dos décadas, los ataques de ransomware han sido la pesadilla de los gerentes de TI de las empresas, así como para los CEOs, y una fuente de mucha investigación para los profesionales de la ciberseguridad. Un mercado negro de herramientas de hackeo y cifrado ha contribuido a la proliferación de este tipo de incursiones, pero afortunadamente un caso reciente muestra lo que podemos aprender cuando los atacantes no saben lo que hacen.

A diferencia de otras fuentes de molestia cibernéticas, como los virus, que se replican y provocan el caos, o los ataques de denegación de servicio, que paralizan las redes, el ransomware es casi imposible de eliminar una vez que se ha desplegado con éxito. Esto se debe a que los hackers utilizan el cifrado para bloquear los archivos, con una clave secreta de descifrado como única vía de escape.

En lugar de intentar deshacer este cifrado, la mayoría de las víctimas simplemente borran los archivos y restauran sus sistemas utilizando copias de seguridad. Esto puede llevar días o semanas, suponiendo que el objetivo tenga buenas prácticas de datos, y es algo que sigue costando millones de dólares. Puede ser imposible si no existen copias de seguridad seguras. Y estos casos son a los que apuestan los atacantes de ransomware: las pérdidas por restaurar los sistemas son tan elevadas que el objetivo está dispuesto a pagar para conseguir una copia de la clave digital.

Pero a lo que no apuestan los hackers es a que los profesionales de la ciberseguridad más experimentados se encuentren con errores de novato en el código del malware que les permita revertir el cifrado sin pagar un centavo.

Un grupo del equipo X-Force de International Business Machines Corp. (IBM) hizo precisamente eso. CyCraft Corp., con sede en Taipei, también consiguió encontrar fallos y ofreció herramientas de descifrado de forma gratuita.

En un artículo publicado en el sitio web de IBM Security Intelligence y en una reciente presentación en la Conferencia de Seguridad RSA, los investigadores explicaron cómo habían detectado un error en el código del entorno del ransomware Thanos. Se cree que Prometheus, una variante de Thanos, ha atacado al menos a 30 víctimas en sectores como la fabricación, la logística y las finanzas.

Todo se centra en la aleatoriedad. Esta cualidad es uno de los aspectos más importantes de un buen cifrado, ya que las claves de cifrado-descifrado (que suelen venir como un par vinculado matemáticamente) se basan en que son casi imposibles de adivinar. Y como son tan largas, un ataque de fuerza bruta -(recorrer cada una de las combinaciones posibles para encontrar la que funciona) es inviable.

Por desgracia, las máquinas son terribles para la aleatoriedad: es algo que va en contra de su naturaleza. (Las computadoras son increíblemente predecibles: Las mismas entradas puestas a través del mismo sistema siempre devolverán el mismo resultado). Por eso, para crear claves generadas aleatoriamente, los informáticos han desarrollado generadores de números pseudoaleatorios que imitan la verdadera aleatoriedad. Cuando se utilizan correctamente, estas herramientas de software pueden hacer un muy buen trabajo para crear contraseñas y claves de cifrado que son difíciles de descifrar.

Pero quienes escribieron el código de Thanos no utilizaron esas herramientas correctamente. En su lugar, codificaron una parte del proceso y utilizaron la muy predecible hora de la computadora de la víctima para otra parte.

Los investigadores descubrieron esa primera parte (era una secuencia de números que contaba del uno al ocho), y sólo tuvieron que averiguar cuánto tiempo había estado funcionando la computadora antes de que se desplegara el malware. Les costó un poco más de trabajo y algunos resultados erróneos, pero finalmente pudieron hacer conjeturas más certeras. A partir de ahí, sólo era cuestión de unir los números para ver si podían crear una clave criptográfica que coincidiera. Y lo consiguieron. Como resultado, la clave súper secreta del malware no era tan difícil de adivinar como pensaban sus desarrolladores.

Más allá de esbozar un ingenioso trabajo de investigación por parte de la comunidad de ciberinteligencia, el caso del cifrado defectuoso de Thanos revela muchas cosas sobre el hackeo moderno. En primer lugar, como bien saben los investigadores, gran parte de este software malicioso se recicla entre una amplia comunidad de aspirantes a atacantes, muchos de los cuales no entienden realmente las herramientas que utilizan.

Además, las personas que piratean los sistemas informáticos y las que escriben las herramientas de malware (a menudo grupos distintos) no siempre son expertos en sus campos. Utilizar un vector de inicialización codificado es un error bastante básico. Esto significa que las fallas se repiten a menudo, y ofrecen a los investigadores el tipo de huellas digitales que necesitan para rastrear y defenderse de las crecientes amenazas.

A medida que los ataques de ransomware crecen en tamaño y escala, puede ser al menos un consuelo saber que no todos los hackers son genios.

Esta nota no refleja necesariamente la opinión del consejo editorial o de Bloomberg LP y sus propietarios.

Este artículo fue traducido por Estefanía Salinas Concha.