¿Qué es un ataque Ransomware?

¿Qué es un ataque de ransomware?

Un ataque ransomware , una forma avanzada de ciberataque, es una de las mayores amenazas a las que se enfrentan los equipos de seguridad de todo el mundo. El ransomware es una forma de malware que, generalmente mediante cifrado, bloquea o limita el acceso a los datos hasta que se paga un rescate. 

La amenaza del ransomware ha evolucionado. Si bien los primeros ransomware utilizaban un cifrado fácilmente reversible, las bandas de ransomware actuales suelen implementar AES-256 para cifrar los archivos de una organización. Muchos ataques de ransomware extraen datos de la red antes del cifrado, lo que significa que los actores maliciosos también pueden amenazar con divulgar los datos confidenciales de la organización. La organización corre el riesgo de sufrir un ataque de doble extorsión.

Tendencias y estadísticas de ransomware

Desde 2020, se han detectado más de 130 cepas diferentes de ransomware ( Informe Ransomware en un contexto global ): 

• La familia de ransomware GandCrab fue la más frecuente con un 78,5%. 
• El 95% de todas las muestras de ransomware son archivos ejecutables basados ​​en Windows o bibliotecas de vínculos dinámicos. 

En la última década, hemos visto cómo los ataques de ransomware han aumentado exponencialmente:  

• El ransomware es parte del 10% de todas las violaciones de ciberseguridad ( Informe de investigaciones de violaciones de datos de Verizon ). 
• Aproximadamente el 37% de las organizaciones globales afirmaron haber sido víctimas de algún tipo de ataque de ransomware ( Estudio de ransomware de 2021 ). 
• El Centro de Denuncias de Delitos en Internet del FBI informó 2.084 denuncias de ransomware en solo 6 meses, un aumento interanual del 62%.

Algunas tendencias emergentes de ransomware: 

• Ataques a la cadena de suministro: en lugar de atacar a una sola víctima, los ataques a la cadena de suministro ampliaron el radio de acción. Un claro ejemplo de un ataque de ransomware en 2021 es el ataque a Kaseya , que afectó al menos a 1500 de sus clientes proveedores de servicios gestionados.
• Doble extorsión: con la doble extorsión, los atacantes también extraen los datos a una ubicación separada, donde pueden utilizarse para otros fines, como filtrar la información a un sitio web público si no se recibe un pago.
• Ransomware como servicio (RaaS): RaaS es un malware de pago por uso . Permite a los atacantes utilizar una plataforma que proporciona el código de ransomware y la infraestructura operativa necesarios para lanzar y mantener una campaña de ransomware.
• Ataques a sistemas sin parches: si bien hay ataques de ransomware que aprovechan nuevas vulnerabilidades de día cero, la mayoría continúa abusando de vulnerabilidades conocidas en sistemas sin parches.
• Phishing: Varias formas de correos electrónicos de phishing fueron, en la mayoría de los casos, la causa principal del ransomware.

Ejemplos de ataques de ransomware 

CriptoLocker

CryptoLocker fue un conocido ataque de ransomware que apareció por primera vez en 2013. Se propagó principalmente a través de correos electrónicos no deseados que contenían archivos adjuntos maliciosos, como facturas falsas o notificaciones de envío. Cuando una víctima abría el archivo adjunto, el malware comenzaba a cifrar los archivos de su computadora y de cualquier unidad de red conectada mediante el cifrado de clave RSA-2048. 

Una vez que se completaba el cifrado, la víctima veía una nota de rescate en la que se exigía el pago en bitcoins para obtener la clave de descifrado. Si la víctima no pagaba en un plazo determinado, los atacantes amenazaban con eliminar la clave de descifrado, lo que hacía que los archivos quedaran inaccesibles de forma permanente. CryptoLocker causó daños importantes, con pagos de rescate estimados en más de 3 millones de dólares.

Locky

Locky es otra cepa de ransomware que prevaleció en 2016 y 2017. Por lo general, se propagaba a través de correos electrónicos no deseados con archivos adjuntos de documentos de Word que contenían macros maliciosas . Cuando la víctima abría el archivo adjunto y habilitaba las macros, Locky comenzaba a cifrar archivos en la computadora de la víctima y en cualquier unidad de red conectada mediante cifrado AES. Al igual que otros ataques de ransomware, exigía un pago en Bitcoin para obtener la clave de descifrado.

Petia

Petya fue un ataque de ransomware que apareció por primera vez en 2016 y causó daños importantes. Se propagó a través de kits de explotación, correos electrónicos de phishing y ataques de protocolo de escritorio remoto (RDP). Una vez que el malware infectó una computadora, sobrescribió el registro de arranque maestro (MBR) del disco duro, lo que impidió que la computadora se iniciara. 

A continuación, se mostraba una nota de rescate en la que se exigía el pago en bitcoins para obtener la clave de descifrado. Sin embargo, en algunos casos, incluso si la víctima pagaba el rescate, no podía recuperar sus archivos, lo que llevó a algunos a especular que el verdadero motivo de los atacantes podría haber sido causar caos y perturbaciones.

ryuk

Ryuk es una cepa de ransomware que apareció por primera vez en 2018 y se cree que está operada por un grupo cibercriminal ruso. Su objetivo son grandes organizaciones, incluidos proveedores de atención médica, agencias gubernamentales e instituciones financieras. 

Ryuk suele obtener acceso a una red a través de un correo electrónico de phishing o un kit de explotación y, una vez dentro, comienza a cifrar archivos utilizando una combinación de cifrado AES y RSA. Luego exige un pago elevado de rescate en bitcoins, a menudo de millones de dólares. 

Ryuk es un ataque de ransomware sofisticado y dirigido, y el grupo detrás de él es conocido por su paciencia y planificación cuidadosa, a menudo pasando meses infiltrándose en una red antes de lanzar el ataque.

Quiero llorar

WannaCry fue un ataque de ransomware que provocó un brote mundial en mayo de 2017. Se propagó a través de una vulnerabilidad en versiones anteriores de Microsoft Windows que había sido explotada por la NSA y luego filtrada por un grupo de piratas informáticos. 

El malware utilizó capacidades similares a las de un gusano para propagarse rápidamente por las redes, cifrando archivos con cifrado AES-128. Exigía el pago en bitcoins y el ataque afectó a cientos de miles de ordenadores de todo el mundo, incluidos proveedores de atención sanitaria, agencias gubernamentales y corporaciones.

Cangrejo gigante

GandCrab fue una cepa prolífica de ransomware que apareció por primera vez a principios de 2018. Se propagó a través de kits de explotación, correos electrónicos de phishing y ataques RDP, infectando las computadoras de las víctimas y cifrando archivos utilizando una combinación de cifrado AES-256 y RSA-2048. 

GandCrab exigía pagos de rescate en varias criptomonedas, incluidas Bitcoin, Dash y Monero, y los atacantes eran conocidos por sus tácticas agresivas, amenazando con filtrar datos confidenciales si la víctima no pagaba.

SamSam

SamSam es una cepa de ransomware que ha estado activa desde 2015 y que ha atacado principalmente a organizaciones de atención médica, instituciones educativas y agencias gubernamentales. Se propaga a través de ataques RDP, en los que los atacantes obtienen acceso a una red mediante la fuerza bruta de contraseñas débiles. Una vez dentro de una red, SamSam utiliza malware creado a medida para cifrar archivos y exige pagos de rescate en Bitcoin. 

SamSam se destaca por su enfoque selectivo, ya que los atacantes suelen pasar meses estudiando las vulnerabilidades de una red antes de lanzar un ataque. SamSam ha causado daños significativos, con estimaciones de más de 30 millones de dólares en pagos de rescate. Se cree que el grupo detrás de SamSam tiene su base en Irán, y algunos de sus miembros han sido acusados ​​por el Departamento de Justicia de los Estados Unidos.

¿Cómo funcionan los ataques de ransomware? 

Es importante entender que el ransomware no es un evento único, sino una serie de eventos. Hay muchos tipos diferentes de ransomware, pero la mayoría de los ataques de ransomware tienden a seguir un patrón similar. Repasemos las distintas etapas de una cadena de ataque de ransomware diseñada para interrumpir y deshabilitar sistemas y obligar a las organizaciones a pagar grandes sumas para recuperar datos y volver a estar en línea (el término «cadena de ataque» se refiere a los pasos que sigue un enemigo durante un ataque):  

Etapa 1: Preparación del ataque de ransomware

En esta primera etapa, el atacante configura el ransomware para infiltrarse en su sistema. Esto se puede hacer de varias maneras, como enviar ataques de phishing por correo electrónico , configurar sitios web maliciosos, explotar debilidades en conexiones RDP o atacar vulnerabilidades de software directamente. Solo hace falta que un usuario cometa un error y ejecute el código del ransomware, infiltrándose en el sistema, por lo que cuantos más usuarios haya en su red, más vulnerable será a un ataque de ransomware.  

Etapa 2: Infiltración de ransomware 

En esta etapa, el ransomware se ha infiltrado en su sistema sin que usted lo sepa. El código malicioso establecerá una línea de comunicación con el atacante. El atacante del ransomware puede descargar malware adicional utilizando esta línea de comunicación. Es importante tener en cuenta que el ransomware puede permanecer oculto e inactivo durante días, semanas o meses antes de que el atacante elija el momento óptimo para lanzar el ataque. Además, el ransomware puede moverse lateralmente a través de otros sistemas de su organización para acceder a la mayor cantidad posible de datos críticos. En este punto, muchas variantes del ransomware ahora también apuntan a los sistemas de respaldo para eliminar la posibilidad de que usted, como víctima, restaure los datos. 

Etapa 3: Activación del ransomware

Esto ocurre cuando el atacante activa o ejecuta el ataque de ransomware de forma remota. Esto puede suceder en cualquier momento que el atacante elija y toma a su organización completamente desprevenida. 

Etapa 4: Mantener los datos como rehenes mediante el cifrado

El ransomware mantiene los datos como rehenes mediante el cifrado. Las distintas variantes del ransomware utilizan distintos métodos de cifrado, que van desde el cifrado del registro de arranque maestro de un sistema de archivos hasta el cifrado de archivos individuales o de máquinas virtuales enteras. Algunas variantes del ransomware también atacan los sistemas de copia de seguridad, que pueden eliminar o cifrar las copias de seguridad para impedir su recuperación. Es muy poco probable que descifre los datos por su cuenta, por lo que su organización tendrá tres opciones: perder los datos, recuperarlos a partir de una réplica o copia de seguridad, o pagar el rescate.

Etapa 5: Solicitud de rescate

Usted es oficialmente la víctima y el ransomware ha cifrado los datos. Se le presenta información sobre cómo pagar un rescate mediante una transacción de criptomonedas. En esta etapa, no solo los datos serán inaccesibles, sino que las aplicaciones y sistemas enteros pueden quedar inhabilitados por el cifrado. Las operaciones pueden verse gravemente afectadas sin acceso a los datos o servicios (imagínese la infraestructura de misión crítica y las cadenas de suministro a las que aludimos anteriormente en el artículo).

Etapa 6: Recuperación o rescate

Si no cuenta con un método de recuperación eficaz, lo más probable es que tenga que pagar un rescate. Incluso si los datos se pueden recuperar, al menos parcialmente, el costo de hacerlo puede superar el costo de pagar el rescate. Sin embargo, si su organización cuenta con un plan de recuperación eficaz, es posible que pueda recuperar los datos rápidamente con una interrupción mínima y sin necesidad de pagar un rescate, lo que eliminará la publicidad negativa del tiempo de inactividad y el pago de un rescate exorbitante.

Etapa 7: Limpieza

Es importante tener en cuenta que pagar un rescate o incluso recuperar datos de una copia de seguridad o una réplica no elimina necesariamente el ransomware del sistema. Los archivos y códigos maliciosos pueden seguir presentes y es necesario eliminarlos. Realizar una «autopsia» del ataque en sí probablemente revelará el tipo de ransomware y facilitará su localización y eliminación del sistema. 

El impacto empresarial de un ataque de ransomware

Los ataques de ransomware pueden paralizar o incluso causar daños catastróficos a los datos de la empresa y sus operaciones, especialmente en organizaciones donde los datos son fundamentales para la misión, como en hospitales, centros de llamadas de emergencia, comunicaciones, energía, gobierno y más. Además, un ataque de ransomware puede causar daños a la reputación e incluso enormes pérdidas financieras, y se estima que el ransomware costará hasta 6 billones de dólares por año a partir de 2021 ( Cybersecurity Ventures ). 

Los impactos negativos de un ataque de ransomware en las empresas incluyen:

• Pagos de rescate que pueden alcanzar cientos de miles de dólares en criptomonedas, así como otras pérdidas financieras directas. 
• Pérdida de productividad debido al cierre de sistemas críticos de negocio.
• Pérdida de archivos y datos, que pueden representar cientos de horas de trabajo.
• Pérdida de datos de clientes, que daña la confianza y la reputación del cliente y representa una exposición legal y de cumplimiento.

Según Kaspersky, en la mayoría de los casos, las organizaciones tardan al menos una semana en recuperar sus datos. Además, por supuesto, existe la pérdida financiera que supone tener que formatear por completo las máquinas infectadas, reinstalar todo el software y restaurar los datos, por no hablar de la necesidad de añadir protección para evitar que vuelva a suceder. 

Además, aquí hay algunas estadísticas más relacionadas con las pérdidas financieras de los ataques de ransomware: 

• En el 95% de los casos en los que hubo costos relacionados con ransomware, la pérdida media fue de $11,150. Sin embargo, las pérdidas variaron desde un mínimo de $70 hasta un máximo de $1.2 millones ( Informe de investigaciones sobre violaciones de datos de Verizon ). 
• El doce por ciento de las víctimas pagaron por ataques de ransomware en el tercer trimestre de 2021 ( Índice Corvus Risk Insights ).
• En los primeros seis meses de 2021, hubo 590 millones de dólares en actividad relacionada con ransomware (Red de Control de Delitos Financieros del Departamento del Tesoro de EE. UU. – FinCEN).

Pasos para responder a un ataque de ransomware 

Estos son los pasos clave para responder a un ataque de ransomware:

1. Aísle el dispositivo infectado: si sospecha que un dispositivo ha sido infectado con ransomware, aíslelo de la red inmediatamente para evitar que el malware se propague a otros dispositivos.
2. Evalúe los daños: determine el alcance de los daños identificando qué archivos se han cifrado o bloqueado y si existen copias de seguridad de esos archivos. Si es posible, intente determinar qué cepa de ransomware se ha utilizado, ya que esta información puede ayudar en el proceso de recuperación.
3. Notifique a las partes pertinentes: notifique a las partes pertinentes, incluido el personal de TI, la alta dirección y las autoridades policiales, si es necesario. Según la gravedad del ataque, es posible que deba contratar a una empresa de ciberseguridad externa para que lo ayude con la recuperación y la investigación.
4. No pague el rescate: si bien puede resultar tentador pagar el rescate para recuperar el acceso a sus archivos, no se recomienda hacerlo. No hay garantía de que los atacantes proporcionen una clave de descifrado y pagar el rescate solo alienta más ataques.
5. Restaurar desde copias de seguridad: si tiene copias de seguridad de los archivos afectados, restáurelas desde una copia de seguridad limpia. Asegúrese de verificar la integridad de las copias de seguridad antes de restaurarlas para asegurarse de que no estén infectadas con malware.
6. Erradicar: utilice herramientas de eliminación de malware para eliminar el ransomware de los dispositivos infectados. Asegúrese de que todos los parches y actualizaciones estén instalados para evitar futuros ataques.
7. Mejore la seguridad: una vez que se haya contenido la amenaza inmediata, revise y mejore las medidas de seguridad de su organización para prevenir futuros ataques. Esto puede incluir la implementación de contraseñas más seguras, el uso de autenticación de dos factores y la garantía de que todo el software esté actualizado y tenga parches.
8. Informar del incidente: informar del incidente a las autoridades pertinentes, incluidas las autoridades locales y los organismos reguladores, si corresponde. Esto puede ayudar a rastrear a los atacantes y prevenir futuros ataques.

¿Cómo eliminar ransomware?

A continuación se muestran los pasos generales para eliminar ransomware:

1. Identificar la cepa de ransomware: identifica qué cepa de ransomware ha infectado el dispositivo, ya que diferentes cepas pueden requerir diferentes métodos de eliminación. Puedes utilizar recursos en línea, como sitios web de software antivirus o foros de ciberseguridad, para identificar el ransomware específico.
2. Utilice un software antivirus: realice un análisis completo del dispositivo infectado con un software antivirus u otras herramientas de eliminación de malware. Si el software antivirus no puede eliminar el ransomware, es posible que deba utilizar una herramienta de eliminación especializada específica para esa cepa de ransomware.
3. Eliminar el ransomware manualmente: si el ransomware sigue presente después de ejecutar el software antivirus, es posible que deba eliminarlo manualmente. Esto puede implicar editar el registro o usar el símbolo del sistema, por lo que es importante seguir las instrucciones con atención para evitar causar más daños al dispositivo.

¿Qué puede hacer su organización para prevenir ataques de ransomware? 

La buena noticia es que con una buena higiene cibernética (que incluya capacitación de los empleados, una gestión de configuración sólida y sistemas de seguridad implementados), las organizaciones pueden mitigar las vulnerabilidades del ransomware y prepararse para el peor de los casos.

A continuación se presentan algunas prácticas recomendadas de TI que toda organización debería implementar: 

• Manténgase actualizado con el software operativo más reciente en todo momento. WannaCry, una de las variantes de ransomware más famosas que existen, es un ejemplo de gusano ransomware. En lugar de depender de correos electrónicos de phishing o RDP para obtener acceso a los sistemas de destino, WannaCry se propagó explotando una vulnerabilidad en el protocolo Windows Server Message Block (SMB).
  • En el momento del famoso ataque WannaCry en mayo de 2017, existía un parche para la vulnerabilidad EternalBlue utilizada por WannaCry. Este parche estaba disponible un mes antes del ataque y estaba etiquetado como «crítico» debido a su alto potencial de explotación. Sin embargo, muchas organizaciones e individuos no aplicaron el parche a tiempo, lo que provocó un brote de ransomware que infectó 200.000 computadoras en tres días.
• Implementar copias de seguridad : pagar el rescate no garantiza que obtendrá la clave privada para restaurar sus datos, por lo que, en caso de un ataque, puede devolver los archivos a su estado original. Mantener las computadoras actualizadas y aplicar parches de seguridad, especialmente aquellos etiquetados como críticos, puede ayudar a limitar la vulnerabilidad de una organización a los ataques de ransomware.
• Evalúe continuamente su postura de seguridad para asegurarse de tener implementadas las protecciones adecuadas. 

Proteja el punto de entrada con seguridad avanzada para correo electrónico

Para prevenir ataques de ransomware, es fundamental proteger todos los canales a través de los cuales ingresa contenido a la organización. El correo electrónico sigue siendo el principal punto de entrada para los ataques de ciberseguridad, por lo que sigue siendo un punto débil en la infraestructura de seguridad de muchas empresas. Incluso los usuarios más experimentados no son inmunes a los ciberatacantes, que siguen desarrollando técnicas más sofisticadas para enviar ransomware por correo electrónico. 

A pesar de la disponibilidad de muchas soluciones de seguridad de correo electrónico en el mercado, la mayoría de las organizaciones siguen expuestas: 

• La tecnología tradicional de sandbox , utilizada por muchas de las soluciones de seguridad de correo electrónico, se ha vuelto obsoleta y no está a la altura de los desafíos que plantean los piratas informáticos sofisticados, que emplean varios niveles de ataques con múltiples técnicas de evasión.
• La mayoría de las soluciones de seguridad de correo electrónico son lentas y no pueden escalar para satisfacer las necesidades de rendimiento requeridas, por lo que los profesionales de seguridad se ven obligados a elegir entre retrasar todo el tráfico de correo electrónico para analizar menos del 100 % de los correos electrónicos y solo remediar las amenazas después de la entrega. Esto supone un gran riesgo para la seguridad de sus organizaciones.

Una solución de seguridad de correo electrónico avanzada como Perception Point puede abordar estos desafíos y brindar protección completa contra ransomware:

• Análisis dinámico : muchas de las soluciones de seguridad de correo electrónico están diseñadas para analizar el contenido de forma estática (antivirus simple) o utilizan CDR (tecnología de desarme y reconstrucción de contenido). La tecnología anti-virus depende de lo que ya se sabe, mientras que la última manipula los archivos y los modifica. El análisis dinámico es el proceso de detonar archivos y URL dentro de un entorno aislado para detectar la ejecución de código malicioso.
• Descompresión recursiva : la capacidad de encontrar amenazas subyacentes a cualquier nivel de anidación dentro del contenido. Esta es una capacidad clave para protegerse contra intentos de evasión; sin ella, un ataque puede pasar desapercibido cuando el atacante esconde una amenaza en lo profundo del contenido. 
• Velocidad y escala : un problema común con las soluciones de seguridad existentes es gestionar la escala a la velocidad requerida. Las soluciones tradicionales han migrado a la nube, pero no están diseñadas para escalar. Cuando las cargas de trabajo crecen, se ven obligadas a ser selectivas con respecto a lo que escanean, lo que aumenta el riesgo de infiltración de contenido malicioso, y esto es exactamente lo que los atacantes están esperando explotar.
• Optimización del motor : las soluciones de protección avanzada contra amenazas requieren una optimización del motor, que debe realizarse de forma continua, ya que las organizaciones están constantemente expuestas a nuevos tipos de amenazas y necesitan protegerse de forma eficiente de ellas. Si no se optimiza, el rendimiento de la seguridad se degrada con el tiempo, lo que es un problema que se experimenta con frecuencia. La optimización del motor es una combinación de la agilidad de la solución de seguridad del correo electrónico (la capacidad de definir nuevas reglas y políticas sobre la marcha) junto con una fuerza laboral de ciberseguridad capacitada que pueda identificar las amenazas y realizar estas optimizaciones de forma continua. 

¹ Petya es una familia de  ransomware de cifrado  que se descubrió por primera vez en 2016: un fragmento de código criminal que apareció a principios de 2016 y extorsionaba a las víctimas para que pagaran por una clave para desbloquear sus archivos. Este ransomware ataca a los sistemas basados ​​en Microsoft Windows, infectando el registro de arranque maestro para ejecutar una carga útil que cifra la tabla del sistema de archivos de un disco duro e impide que Windows se inicie. Posteriormente, exige que el usuario realice un pago en Bitcoin para recuperar el acceso al sistema.