Anatomía del ransomware

Abstract

El ransomware se ha convertido en uno de los problemas de ciberseguridad más relevantes a día de hoy debido primeramente al gran impacto que puede llegar a suponer para una organización el secuestro de información relevante, y, en segundo lugar, debido al enorme beneficio económico gracias a la extorsión por parte de los grupos criminales que lo orquestan. Este Trabajo Final de Máster busca llevar a cabo un análisis desde lo general del fenómeno a ejemplos particulares. En primer lugar, se plantea un repaso por la historia y evolución de la actividad del ransomware desde sus primeros días hasta el estado actual de la situación, que se expone con detalle. También se tratan las herramientas y marcos de trabajo que hacen posible comprender y clasificar este tipo de ataques informáticos. Por último, se realiza un estudio pormenorizado de las tácticas, técnicas y procedimientos de Conti, uno de los ransomware con más presencia detectada el pasado año 2021. Esta publicación incluye, además de la revisión de fragmentos del código de su herramienta de cifrado de datos, una prueba de laboratorio donde se ha ejecutado el malware en un entorno controlado y la exposición de los resultados obtenidos.

Ransomware has become one of the most relevant cybersecurity threats today: first of all, due to the great impact that the kidnapping of relevant information can have on an organization, and, secondly, due to the enormous economic profit thanks to extortion by the criminal groups that orchestrate it. This Master's Thesis seeks to carry out an analysis from the general to particular examples of the phenomenon. First, it presents a review of the history and evolution of ransomware activity from its early days to the current state, that is addressed in detail. The tools and frameworks that make it possible to understand and classify this type of computer attack are also discussed. Finally it is carried out an extensive review of the tactics, techniques and procedures of Conti, one of the most prevalent ransomware detected in the past year 2021. This study includes, in addition to the code review of fragments of its data encryption tool, a laboratory test where the malware has been executed in a controlled environment and the results obtained are presented.

El ransomware s'ha convertit en un dels problemes de ciberseguretat més rellevants hui dia degut primerament al gran impacte que pot arribar a suposar per a una organització el segrest d'informació rellevant, i, en segon lloc, a causa de l'enorme benefici econòmic gràcies a l'extorsió per part dels grups criminals que l'orquestren. Aquest Treball Final de Màster busca dur a terme una anàlisi des del general del fenomen a exemples particulars. En primer lloc, es planteja un repàs per la història i evolució de l'activitat del ransomware des dels seus primers dies fins a l'estat actual de la situació, que s'exposa amb detall. També es tracten les eines i marcs de treball que fan possible comprendre i classificar aquest tipus d'atacs informàtics. Finalment, es realitza un estudi detallat de les tàctiques, tècniques i procediments de Conti, un dels ransomware amb més presència detectada l'any passat 2021. Aquesta publicació inclou, a més de la revisió de fragments del codi de la seua eina de xifratge de dades, una prova de laboratori on s'ha executat el malware en un entorn controlat i l'exposició dels resultats obtinguts.