Icono del sitio Mantenimiento Informático

¿Qué es un ataque Ransomware?

ataque ransomware

¿Qué es un ataque de ransomware?

Un ataque ransomware , una forma avanzada de ciberataque, es una de las mayores amenazas a las que se enfrentan los equipos de seguridad de todo el mundo. El ransomware es una forma de malware que, generalmente mediante cifrado, bloquea o limita el acceso a los datos hasta que se paga un rescate. 

La amenaza del ransomware ha evolucionado. Si bien los primeros ransomware utilizaban un cifrado fácilmente reversible, las bandas de ransomware actuales suelen implementar AES-256 para cifrar los archivos de una organización. Muchos ataques de ransomware extraen datos de la red antes del cifrado, lo que significa que los actores maliciosos también pueden amenazar con divulgar los datos confidenciales de la organización. La organización corre el riesgo de sufrir un ataque de doble extorsión.

Tendencias y estadísticas de ransomware

Desde 2020, se han detectado más de 130 cepas diferentes de ransomware ( Informe Ransomware en un contexto global ): 

En la última década, hemos visto cómo los ataques de ransomware han aumentado exponencialmente:  

Algunas tendencias emergentes de ransomware: 

Ejemplos de ataques de ransomware 

CriptoLocker

CryptoLocker fue un conocido ataque de ransomware que apareció por primera vez en 2013. Se propagó principalmente a través de correos electrónicos no deseados que contenían archivos adjuntos maliciosos, como facturas falsas o notificaciones de envío. Cuando una víctima abría el archivo adjunto, el malware comenzaba a cifrar los archivos de su computadora y de cualquier unidad de red conectada mediante el cifrado de clave RSA-2048. 

Una vez que se completaba el cifrado, la víctima veía una nota de rescate en la que se exigía el pago en bitcoins para obtener la clave de descifrado. Si la víctima no pagaba en un plazo determinado, los atacantes amenazaban con eliminar la clave de descifrado, lo que hacía que los archivos quedaran inaccesibles de forma permanente. CryptoLocker causó daños importantes, con pagos de rescate estimados en más de 3 millones de dólares.

Locky

Locky es otra cepa de ransomware que prevaleció en 2016 y 2017. Por lo general, se propagaba a través de correos electrónicos no deseados con archivos adjuntos de documentos de Word que contenían macros maliciosas . Cuando la víctima abría el archivo adjunto y habilitaba las macros, Locky comenzaba a cifrar archivos en la computadora de la víctima y en cualquier unidad de red conectada mediante cifrado AES. Al igual que otros ataques de ransomware, exigía un pago en Bitcoin para obtener la clave de descifrado.

Petia

Petya fue un ataque de ransomware que apareció por primera vez en 2016 y causó daños importantes. Se propagó a través de kits de explotación, correos electrónicos de phishing y ataques de protocolo de escritorio remoto (RDP). Una vez que el malware infectó una computadora, sobrescribió el registro de arranque maestro (MBR) del disco duro, lo que impidió que la computadora se iniciara. 

A continuación, se mostraba una nota de rescate en la que se exigía el pago en bitcoins para obtener la clave de descifrado. Sin embargo, en algunos casos, incluso si la víctima pagaba el rescate, no podía recuperar sus archivos, lo que llevó a algunos a especular que el verdadero motivo de los atacantes podría haber sido causar caos y perturbaciones.

ryuk

Ryuk es una cepa de ransomware que apareció por primera vez en 2018 y se cree que está operada por un grupo cibercriminal ruso. Su objetivo son grandes organizaciones, incluidos proveedores de atención médica, agencias gubernamentales e instituciones financieras. 

Ryuk suele obtener acceso a una red a través de un correo electrónico de phishing o un kit de explotación y, una vez dentro, comienza a cifrar archivos utilizando una combinación de cifrado AES y RSA. Luego exige un pago elevado de rescate en bitcoins, a menudo de millones de dólares. 

Ryuk es un ataque de ransomware sofisticado y dirigido, y el grupo detrás de él es conocido por su paciencia y planificación cuidadosa, a menudo pasando meses infiltrándose en una red antes de lanzar el ataque.

Quiero llorar

WannaCry fue un ataque de ransomware que provocó un brote mundial en mayo de 2017. Se propagó a través de una vulnerabilidad en versiones anteriores de Microsoft Windows que había sido explotada por la NSA y luego filtrada por un grupo de piratas informáticos. 

El malware utilizó capacidades similares a las de un gusano para propagarse rápidamente por las redes, cifrando archivos con cifrado AES-128. Exigía el pago en bitcoins y el ataque afectó a cientos de miles de ordenadores de todo el mundo, incluidos proveedores de atención sanitaria, agencias gubernamentales y corporaciones.

Cangrejo gigante

GandCrab fue una cepa prolífica de ransomware que apareció por primera vez a principios de 2018. Se propagó a través de kits de explotación, correos electrónicos de phishing y ataques RDP, infectando las computadoras de las víctimas y cifrando archivos utilizando una combinación de cifrado AES-256 y RSA-2048. 

GandCrab exigía pagos de rescate en varias criptomonedas, incluidas Bitcoin, Dash y Monero, y los atacantes eran conocidos por sus tácticas agresivas, amenazando con filtrar datos confidenciales si la víctima no pagaba.

SamSam

SamSam es una cepa de ransomware que ha estado activa desde 2015 y que ha atacado principalmente a organizaciones de atención médica, instituciones educativas y agencias gubernamentales. Se propaga a través de ataques RDP, en los que los atacantes obtienen acceso a una red mediante la fuerza bruta de contraseñas débiles. Una vez dentro de una red, SamSam utiliza malware creado a medida para cifrar archivos y exige pagos de rescate en Bitcoin. 

SamSam se destaca por su enfoque selectivo, ya que los atacantes suelen pasar meses estudiando las vulnerabilidades de una red antes de lanzar un ataque. SamSam ha causado daños significativos, con estimaciones de más de 30 millones de dólares en pagos de rescate. Se cree que el grupo detrás de SamSam tiene su base en Irán, y algunos de sus miembros han sido acusados ​​por el Departamento de Justicia de los Estados Unidos.

¿Cómo funcionan los ataques de ransomware? 

Es importante entender que el ransomware no es un evento único, sino una serie de eventos. Hay muchos tipos diferentes de ransomware, pero la mayoría de los ataques de ransomware tienden a seguir un patrón similar. Repasemos las distintas etapas de una cadena de ataque de ransomware diseñada para interrumpir y deshabilitar sistemas y obligar a las organizaciones a pagar grandes sumas para recuperar datos y volver a estar en línea (el término «cadena de ataque» se refiere a los pasos que sigue un enemigo durante un ataque):  

Etapa 1: Preparación del ataque de ransomware

En esta primera etapa, el atacante configura el ransomware para infiltrarse en su sistema. Esto se puede hacer de varias maneras, como enviar ataques de phishing por correo electrónico , configurar sitios web maliciosos, explotar debilidades en conexiones RDP o atacar vulnerabilidades de software directamente. Solo hace falta que un usuario cometa un error y ejecute el código del ransomware, infiltrándose en el sistema, por lo que cuantos más usuarios haya en su red, más vulnerable será a un ataque de ransomware.  

Etapa 2: Infiltración de ransomware 

En esta etapa, el ransomware se ha infiltrado en su sistema sin que usted lo sepa. El código malicioso establecerá una línea de comunicación con el atacante. El atacante del ransomware puede descargar malware adicional utilizando esta línea de comunicación. Es importante tener en cuenta que el ransomware puede permanecer oculto e inactivo durante días, semanas o meses antes de que el atacante elija el momento óptimo para lanzar el ataque. Además, el ransomware puede moverse lateralmente a través de otros sistemas de su organización para acceder a la mayor cantidad posible de datos críticos. En este punto, muchas variantes del ransomware ahora también apuntan a los sistemas de respaldo para eliminar la posibilidad de que usted, como víctima, restaure los datos. 

Etapa 3: Activación del ransomware

Esto ocurre cuando el atacante activa o ejecuta el ataque de ransomware de forma remota. Esto puede suceder en cualquier momento que el atacante elija y toma a su organización completamente desprevenida. 

Etapa 4: Mantener los datos como rehenes mediante el cifrado

El ransomware mantiene los datos como rehenes mediante el cifrado. Las distintas variantes del ransomware utilizan distintos métodos de cifrado, que van desde el cifrado del registro de arranque maestro de un sistema de archivos hasta el cifrado de archivos individuales o de máquinas virtuales enteras. Algunas variantes del ransomware también atacan los sistemas de copia de seguridad, que pueden eliminar o cifrar las copias de seguridad para impedir su recuperación. Es muy poco probable que descifre los datos por su cuenta, por lo que su organización tendrá tres opciones: perder los datos, recuperarlos a partir de una réplica o copia de seguridad, o pagar el rescate.

Etapa 5: Solicitud de rescate

Usted es oficialmente la víctima y el ransomware ha cifrado los datos. Se le presenta información sobre cómo pagar un rescate mediante una transacción de criptomonedas. En esta etapa, no solo los datos serán inaccesibles, sino que las aplicaciones y sistemas enteros pueden quedar inhabilitados por el cifrado. Las operaciones pueden verse gravemente afectadas sin acceso a los datos o servicios (imagínese la infraestructura de misión crítica y las cadenas de suministro a las que aludimos anteriormente en el artículo).

Figura 1: Ejemplo de ransomware WannaCry. Fuente: UpGuard
Figura 2: Ejemplo de ransomware GandCrab. Fuente: UpGuard.

Etapa 6: Recuperación o rescate

Si no cuenta con un método de recuperación eficaz, lo más probable es que tenga que pagar un rescate. Incluso si los datos se pueden recuperar, al menos parcialmente, el costo de hacerlo puede superar el costo de pagar el rescate. Sin embargo, si su organización cuenta con un plan de recuperación eficaz, es posible que pueda recuperar los datos rápidamente con una interrupción mínima y sin necesidad de pagar un rescate, lo que eliminará la publicidad negativa del tiempo de inactividad y el pago de un rescate exorbitante.

Etapa 7: Limpieza

Es importante tener en cuenta que pagar un rescate o incluso recuperar datos de una copia de seguridad o una réplica no elimina necesariamente el ransomware del sistema. Los archivos y códigos maliciosos pueden seguir presentes y es necesario eliminarlos. Realizar una «autopsia» del ataque en sí probablemente revelará el tipo de ransomware y facilitará su localización y eliminación del sistema. 

El impacto empresarial de un ataque de ransomware

Los ataques de ransomware pueden paralizar o incluso causar daños catastróficos a los datos de la empresa y sus operaciones, especialmente en organizaciones donde los datos son fundamentales para la misión, como en hospitales, centros de llamadas de emergencia, comunicaciones, energía, gobierno y más. Además, un ataque de ransomware puede causar daños a la reputación e incluso enormes pérdidas financieras, y se estima que el ransomware costará hasta 6 billones de dólares por año a partir de 2021 ( Cybersecurity Ventures ). 

Los impactos negativos de un ataque de ransomware en las empresas incluyen:

Según Kaspersky, en la mayoría de los casos, las organizaciones tardan al menos una semana en recuperar sus datos. Además, por supuesto, existe la pérdida financiera que supone tener que formatear por completo las máquinas infectadas, reinstalar todo el software y restaurar los datos, por no hablar de la necesidad de añadir protección para evitar que vuelva a suceder. 

Además, aquí hay algunas estadísticas más relacionadas con las pérdidas financieras de los ataques de ransomware: 

Pasos para responder a un ataque de ransomware 

Estos son los pasos clave para responder a un ataque de ransomware:

  1. Aísle el dispositivo infectado: si sospecha que un dispositivo ha sido infectado con ransomware, aíslelo de la red inmediatamente para evitar que el malware se propague a otros dispositivos.
  2. Evalúe los daños: determine el alcance de los daños identificando qué archivos se han cifrado o bloqueado y si existen copias de seguridad de esos archivos. Si es posible, intente determinar qué cepa de ransomware se ha utilizado, ya que esta información puede ayudar en el proceso de recuperación.
  3. Notifique a las partes pertinentes: notifique a las partes pertinentes, incluido el personal de TI, la alta dirección y las autoridades policiales, si es necesario. Según la gravedad del ataque, es posible que deba contratar a una empresa de ciberseguridad externa para que lo ayude con la recuperación y la investigación.
  4. No pague el rescate: si bien puede resultar tentador pagar el rescate para recuperar el acceso a sus archivos, no se recomienda hacerlo. No hay garantía de que los atacantes proporcionen una clave de descifrado y pagar el rescate solo alienta más ataques.
  5. Restaurar desde copias de seguridad: si tiene copias de seguridad de los archivos afectados, restáurelas desde una copia de seguridad limpia. Asegúrese de verificar la integridad de las copias de seguridad antes de restaurarlas para asegurarse de que no estén infectadas con malware.
  6. Erradicar: utilice herramientas de eliminación de malware para eliminar el ransomware de los dispositivos infectados. Asegúrese de que todos los parches y actualizaciones estén instalados para evitar futuros ataques.
  7. Mejore la seguridad: una vez que se haya contenido la amenaza inmediata, revise y mejore las medidas de seguridad de su organización para prevenir futuros ataques. Esto puede incluir la implementación de contraseñas más seguras, el uso de autenticación de dos factores y la garantía de que todo el software esté actualizado y tenga parches.
  8. Informar del incidente: informar del incidente a las autoridades pertinentes, incluidas las autoridades locales y los organismos reguladores, si corresponde. Esto puede ayudar a rastrear a los atacantes y prevenir futuros ataques.

¿Cómo eliminar ransomware?

A continuación se muestran los pasos generales para eliminar ransomware:

  1. Identificar la cepa de ransomware: identifica qué cepa de ransomware ha infectado el dispositivo, ya que diferentes cepas pueden requerir diferentes métodos de eliminación. Puedes utilizar recursos en línea, como sitios web de software antivirus o foros de ciberseguridad, para identificar el ransomware específico.
  2. Utilice un software antivirus: realice un análisis completo del dispositivo infectado con un software antivirus u otras herramientas de eliminación de malware. Si el software antivirus no puede eliminar el ransomware, es posible que deba utilizar una herramienta de eliminación especializada específica para esa cepa de ransomware.
  3. Eliminar el ransomware manualmente: si el ransomware sigue presente después de ejecutar el software antivirus, es posible que deba eliminarlo manualmente. Esto puede implicar editar el registro o usar el símbolo del sistema, por lo que es importante seguir las instrucciones con atención para evitar causar más daños al dispositivo.

¿Qué puede hacer su organización para prevenir ataques de ransomware? 

La buena noticia es que con una buena higiene cibernética (que incluya capacitación de los empleados, una gestión de configuración sólida y sistemas de seguridad implementados), las organizaciones pueden mitigar las vulnerabilidades del ransomware y prepararse para el peor de los casos.

A continuación se presentan algunas prácticas recomendadas de TI que toda organización debería implementar: 

Proteja el punto de entrada con seguridad avanzada para correo electrónico

Para prevenir ataques de ransomware, es fundamental proteger todos los canales a través de los cuales ingresa contenido a la organización. El correo electrónico sigue siendo el principal punto de entrada para los ataques de ciberseguridad, por lo que sigue siendo un punto débil en la infraestructura de seguridad de muchas empresas. Incluso los usuarios más experimentados no son inmunes a los ciberatacantes, que siguen desarrollando técnicas más sofisticadas para enviar ransomware por correo electrónico. 

A pesar de la disponibilidad de muchas soluciones de seguridad de correo electrónico en el mercado, la mayoría de las organizaciones siguen expuestas: 

Una solución de seguridad de correo electrónico avanzada como Perception Point puede abordar estos desafíos y brindar protección completa contra ransomware:


1 Petya es una familia de  ransomware de cifrado  que se descubrió por primera vez en 2016: un fragmento de código criminal que apareció a principios de 2016 y extorsionaba a las víctimas para que pagaran por una clave para desbloquear sus archivos. Este ransomware ataca a los sistemas basados ​​en Microsoft Windows, infectando el registro de arranque maestro para ejecutar una carga útil que cifra la tabla del sistema de archivos de un disco duro e impide que Windows se inicie. Posteriormente, exige que el usuario realice un pago en Bitcoin para recuperar el acceso al sistema.

¿Qué es un ataque de ransomware?

El ransomware, una forma avanzada de ciberataque, es una de las mayores amenazas a las que se enfrentan los equipos de seguridad de todo el mundo. El ransomware es una forma de malware que, generalmente mediante cifrado, bloquea o limita el acceso a los datos hasta que se paga un rescate. 

¿Cuáles son los ejemplos de ataques de ransomware?

– CryptoLocker
– Locky
– Petya
– Ryuk
– WannaCry
– GandCrab
– SamSam

¿Cómo funcionan los ataques de ransomware? 

Existen muchos tipos diferentes de ransomware, pero la mayoría de los ataques de ransomware tienden a seguir un patrón similar. Repasemos las distintas etapas de una cadena de ataque de ransomware:
– Etapa 1: preparación del ataque de ransomware
– Etapa 2: infiltración de ransomware 
– Etapa 3: activación del ransomware
– Etapa 4: retención de datos como rehenes mediante cifrado
– Etapa 5: solicitud de rescate
– Etapa 6: recuperación o rescate
– Etapa 7: limpieza

¿Cuál es el impacto empresarial de un ataque de ransomware?

Los impactos negativos de un ataque de ransomware en las empresas incluyen:
– Pagos de rescate que pueden alcanzar cientos de miles de dólares en criptomonedas, así como otras pérdidas financieras directas. 
– Pérdida de productividad debido al cierre de sistemas empresariales críticos.
– Pérdida de archivos y datos, que puede representar cientos de horas de trabajo.
– Pérdida de datos de clientes, que daña la confianza y la reputación de los clientes y representa una exposición legal y de cumplimiento.

¿Cuáles son los pasos para responder a un ataque de ransomware?

Estos son los pasos clave para responder a un ataque de ransomware:
– Aislar el dispositivo infectado
– Evaluar el daño
– Notificar a las partes relevantes
– No pagar el rescate
– Restaurar desde copias de seguridad
– Erradicar
– Mejorar la seguridad
– Informar el incidente

¿Cómo eliminar ransomware?

Estos son los pasos generales para eliminar ransomware:
– Identificar la cepa de ransomware
– Usar software antivirus
– Eliminar el ransomware manualmente

Salir de la versión móvil