Ransomware al descubierto: Guía imprescindible para profesionales

En el pasado, las amenazas de seguridad solían implicar la extracción de información de sistemas que los atacantes podían usar para cometer otros delitos, como el robo de identidad. Ahora, los ciberdelincuentes han pasado a exigir dinero directamente a las víctimas al mantener sus dispositivos y datos como rehenes. Este tipo de ataque de malware en el que los datos se cifran (o así se asegura) y se pide a las víctimas que paguen por la clave para restaurar el acceso, se llama ransomware y ha crecido rápidamente desde 2013.

Índice de Contenido
  1. Resumen ejecutivo
  2. ¿Qué es el ransomware?
  3. ¿Por qué importa el ransomware?
  4. ¿Cuáles son los principales objetivos de los ataques de ransomware?
  5. ¿Cuáles son algunos de los ataques de ransomware más conocidos?
  6. ¿Cómo puedo protegerme de un ataque de ransomware?

Resumen ejecutivo

  • ¿Qué es el ransomware? El ransomware es un malware. Los hackers exigen un pago, a menudo mediante bitcoin o tarjeta de crédito prepago, a las víctimas para recuperar el acceso a un dispositivo infectado y los datos almacenados en él.
  • ¿Por qué importa el ransomware? Debido a la facilidad de desplegar ransomware, los ciberdelincuentes dependen cada vez más de este tipo de ataques de malware para generar ganancias.
  • ¿Cuáles son los principales objetivos de los ataques de ransomware? Si bien los usuarios domésticos eran tradicionalmente los objetivos de los ataques de ransomware, ahora los sectores de la salud, educación y administración pública también están siendo atacados con mayor frecuencia. Las empresas son más propensas a tener recursos para pagar un rescate.
  • ¿Cuáles son los ataques de ransomware más conocidos? El ransomware ha sido una amenaza de malware activa y continua desde septiembre de 2013. WannaCry, Petya y el ataque al oleoducto colonial son algunos de los ataques de ransomware más destacados hasta la fecha.
  • ¿Cómo puedo protegerme de un ataque de ransomware? Hay una variedad de herramientas desarrolladas en colaboración con las fuerzas del orden y empresas de seguridad disponibles para descifrar su computadora.

¿Qué es el ransomware?

El ransomware es un tipo de ataque de malware caracterizado por tomar el control del dispositivo y, por lo tanto, de los datos almacenados localmente, a cambio de un rescate que las víctimas suelen pagar en bitcoins u otras monedas virtuales. Los sofisticados ataques de ransomware emplean cifrado a nivel de disco o de archivos, lo que hace imposible recuperar los archivos sin pagar el rescate exigido por los hackers.

Históricamente, el ransomware ha utilizado la imagen de organizaciones de aplicación de la ley para coaccionar a las víctimas para que paguen. Estos mensajes suelen mostrar advertencias con el logotipo del FBI y un mensaje que indica que se detectó el intercambio ilegal de archivos en el sistema, instando a los usuarios a pagar una multa o arriesgarse a ser procesados penalmente. A medida que los ataques de ransomware han ganado notoriedad, los atacantes han optado por crear estrategias que indiquen claramente que un dispositivo ha sido hackeado y que las víctimas deben pagar a los hackers para recuperar el acceso.

Otros ataques, como el ransomware WhiteRose, muestran mensajes misteriosos y escasamente gramaticales a las víctimas desprevenidas sobre temas sin importancia en particular, describiendo escenarios idílicos como un hacker "sentado en una silla de madera al lado de un arbusto" con "un libro legible" de William Faulkner en un jardín en un lugar remoto.

Los ataques de ransomware suelen propagarse a través de redes de intercambio de archivos y también se han distribuido como parte de una campaña publicitaria maliciosa en la red de anuncios Zedo, así como a través de correos electrónicos de phishing que disfrazan la carga útil como imágenes maliciosamente creadas o como archivos adjuntos ejecutables. WannaCry, quizás el ataque de ransomware más conocido, utiliza una falla en el protocolo SMB de Microsoft, lo que deja a cualquier computadora sin parches y conectada a Internet vulnerable a la infección. Otros ataques aprovechan servicios de Escritorio remoto no seguros, escaneando Internet en busca de sistemas vulnerables.

A partir de mayo de 2021, ha habido un aumento del 102% en los ataques de ransomware a nivel mundial en comparación con principios de 2020, sin mostrar signos de disminución, según un informe de Check Point Research. El informe también encontró que "el número de organizaciones afectadas a nivel mundial se ha más que duplicado en la primera mitad de 2021 en comparación con 2020". Además, según el informe, los sectores de la salud y los servicios públicos son los más atacados (hasta abril de 2021); las organizaciones en Asia Pacífico han sido las más atacadas, con un promedio de 51 ataques por semana (un aumento del 14% en comparación con principios de 2021); y las organizaciones africanas han experimentado el aumento más alto en ataques (34%) desde abril.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

¿Por qué importa el ransomware?

Para los ciberdelincuentes, el uso de ransomware proporciona una línea recta desde el desarrollo hasta la obtención de ganancias, ya que el robo de identidad comparativamente requiere más recursos. Por lo tanto, el crecimiento del ransomware se puede atribuir a la facilidad de despliegue y una alta tasa de retorno en relación con el esfuerzo invertido. Los nuevos ataques de ransomware se enfocan aún más en el factor de lucro, incluyendo mineros de criptomonedas para utilizar el poder de procesamiento de los sistemas infectados mientras están inactivos, esperando que las víctimas paguen el rescate.

Por lo general, los ataques de ransomware aprovechan vulnerabilidades conocidas, por lo que los ciberdelincuentes no necesitan realizar investigaciones originales para obtener dinero rápido. El ataque WannaCry fue un caso especial, ya que aprovechó dos exploits llamados EternalBlue y DoublePulsar. Estos exploits fueron descubiertos y utilizados por la NSA, y la existencia de estas vulnerabilidades fue revelada por The Shadow Brokers, un grupo que pretendía vender acceso a una serie de vulnerabilidades y herramientas de piratería desarrolladas por el gobierno de Estados Unidos.

Los ataques de ransomware suelen tener bastante éxito para los ciberdelincuentes, ya que las víctimas suelen pagar el rescate. Los ataques dirigidos específicamente pueden resultar en demandas de rescate cada vez más altas, a medida que los atacantes malintencionados se vuelven más audaces en sus intentos de extorsionar dinero a las víctimas.

Sin embargo, los ataques de ransomware "falsos" en los que los atacantes exigen un rescate, aunque se borran los archivos independientemente de si los usuarios pagan o no, también se han vuelto frecuentes en los últimos tiempos. Tal vez el más audaz (aunque fallido) de estos es una variante de KillDisk que exige un rescate de $ 247,000, aunque la clave de cifrado no se almacena local o remotamente, lo que hace imposible que los archivos sean descifrados incluso si alguien pagara el rescate.

¿Cuáles son los principales objetivos de los ataques de ransomware?

Aunque los usuarios domésticos eran tradicionalmente los objetivos de los ataques de ransomware, las redes empresariales son cada vez más blanco de los delincuentes. Además, los servidores, la salud y los servicios públicos (por ejemplo, el ataque al oleoducto colonial) se han convertido en objetivos destacados para los atacantes de ransomware malintencionados.

Las empresas son objetivos especialmente atractivos para estos ataques de malware debido a que las organizaciones más grandes tienen más recursos económicos para exigir un rescate; sin embargo, estas empresas también suelen contar con operaciones de TI sólidas y copias de seguridad recientes para mitigar cualquier daño y evitar el pago de rescates.

Cómo proteger tu computadora de los virus: métodos y consejos

A partir de 2021, los sectores industriales con mayor volumen de intentos de ataques de ransomware a nivel mundial son la salud, con un promedio de 109 intentos de ataques por organización cada semana, seguido por el sector de servicios públicos con 59 ataques y el sector de seguros/legales con 34, según el informe triple de extorsión de Check Point Research.

Para empeorar las cosas, el informe "Ciberseguridad y la próxima generación 2021" de NTT Security indica que el 39% de la próxima generación pagaría un rescate a un ciberdelincuente para poder continuar con su trabajo.

¿Cuáles son algunos de los ataques de ransomware más conocidos?

Aunque el primer ataque de ransomware rudimentario se remonta a 1989, el primer ataque generalizado de ransomware de cifrado, CryptoLocker, se implementó en septiembre de 2013. Originalmente, las víctimas de CryptoLocker tenían un plazo estricto para recuperar sus archivos, aunque los autores posteriormente crearon un servicio web que puede descifrar sistemas para los cuales ha pasado el plazo al elevado precio de 10 BTC (a partir de junio de 2021, equivalente a aproximadamente $ 385,793 USD).

Aunque se estima que los autores originales de CryptoLocker obtuvieron alrededor de $ 3 millones de dólares, han aparecido imitadores que utilizan el nombre de CryptoLocker con cada vez más frecuencia. El Centro de Quejas por Delitos en Internet del FBI estima que entre abril de 2014 y junio de 2015, las víctimas de ransomware pagaron más de $ 18 millones de dólares para descifrar archivos en sus dispositivos.

Locky, otro ataque de ransomware temprano, tiene una tendencia peculiar a desaparecer y reaparecer en intervalos aparentemente aleatorios. Apareció por primera vez en febrero de 2016 y dejó de propagarse en diciembre de 2016, solo para reaparecer brevemente en enero y abril de 2017. Con cada desaparición, los creadores de Locky parecen perfeccionar el ataque. El botnet Necurs, que distribuye el ataque de Locky, parece haber pasado a distribuir el ransomware relacionado Jaff. Tanto Locky como Jaff se eliminan automáticamente de los sistemas con el idioma ruso seleccionado como idioma del sistema por defecto.

El ataque de WannaCry, que comenzó el 12 de mayo de 2017, se detuvo tres días después cuando un investigador en seguridad identificó y registró un nombre de dominio utilizado para el control y comando de la carga útil. El Centro Nacional de Seguridad Cibernética, una división de GCHQ, identificó a Corea del Norte como el origen del ataque de WannaCry. Las estimaciones indican que el ataque de WannaCry le costó al NHS del Reino Unido casi £ 100 millones debido a las interrupciones en la atención al paciente.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Petya, también conocido como GoldenEye, se distribuyó por primera vez a través de archivos adjuntos de correo electrónico infectados en marzo de 2016; al igual que otros ataques de ransomware, exigía un rescate que debía pagarse en bitcoins. Se descubrió una versión modificada de Petya en mayo de 2016; utiliza una carga útil secundaria si el malware no puede obtener acceso de administrador.

En 2017, se descubrió un falso ataque de ransomware llamado NotPetya. NotPetya se propagó a través del mecanismo de actualización de software del software contable MeDoc, que es utilizado por aproximadamente 400,000 empresas en Ucrania. Mientras que Petya cifra el MBR de un disco afectado, NotPetya también cifra archivos individuales y sobrescribe archivos, lo que hace que el descifrado sea imposible.

Al igual que WannaCry, NotPetya utiliza la vulnerabilidad EternalBlue desarrollada por la NSA para propagarse a través de redes locales. En comparación con Petya, el rescate más barato que exige NotPetya, combinado con la única billetera de Bitcoin que se les indica a las víctimas que utilicen, sugiere que el objetivo de ese ataque era causar daño en lugar de generar ganancias. Dado que las organizaciones afectadas son casi exclusivamente ucranianas, se puede inferir que NotPetya es un ataque de ciberataque infligido en ciberataque.

En octubre de 2017, el ataque Bad Rabbit atacó inicialmente a las víctimas en Rusia y Ucrania y se propagó a través de redes empresariales, afectando a víctimas en Alemania, Corea del Sur y Polonia. En lugar de utilizar cifrado de disco o de archivos, el ataque Bad Rabbit cifra las tablas de archivos creadas por el sistema de archivos de la computadora, que indican los nombres y ubicaciones en el disco donde se almacenan los archivos. Al igual que WannaCry y NotPetya, el ataque Bad Rabbit utiliza un exploit desarrollado por la NSA, EternalRomance, continuando la tendencia de los ataques de ransomware de aprovechar exploits encontrados y no informados por las agencias gubernamentales de Estados Unidos.

En enero de 2018 se descubrieron las primeras variantes de la familia de ransomware GandCrab, con variantes mejoradas detectadas en abril de ese año. GandCrab se distribuye principalmente a través de correos electrónicos de phishing, así como a través de exploits en Internet Explorer, Adobe Flash Player y VBScript. Dependiendo de la variante específica, exige un rescate pagado ya sea en las criptomonedas Dash o Bitcoin.

GandCrab fue descrito como "una de las formas más agresivas de ransomware" según Europol. Aunque desapareció unas semanas después de su aparición, el sitio hermano ZDNet explicó que los investigadores creen que los atacantes simplemente pueden haber cambiado de enfoque debido a las "fuertes similitudes en el código de GandCrab en comparación con Sodinokibi", que todavía estaba activo en 2020.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En marzo de 2018, la red informática de la ciudad de Atlanta fue atacada por el ransomware SamSam, por el cual la ciudad proyectó costos de $ 2.6 millones para recuperarse. Jake Williams, fundador de Rendition Infosec, señaló que la infraestructura de la ciudad se había visto afectada por la puerta trasera DoublePulsar desarrollada por la NSA desde finales de abril hasta principios de mayo de 2017, lo que ZDNet señala que fue más de un mes después de que Microsoft lanzara parches para las vulnerabilidades. Aunque la ciudad de Atlanta no pagó un rescate, los atacantes detrás del malware SamSam obtuvieron casi $ 6 millones desde que el ataque comenzó a fines de 2015, según un informe de julio de 2018 en ZDNet. Ese informe también indica que los atacantes continúan obteniendo un estimado de $ 300,000 por mes.

En septiembre de 2018, los ataques de ransomware dejaron fuera de línea las pantallas de información de las puertas del Aeropuerto de Bristol durante dos días.

ZDNet informó que en noviembre de 2018, el Departamento de Justicia de los Estados Unidos acusó a dos hackers que trabajaban desde Irán de crear el ransomware SamSam, que supuestamente "había obtenido más de $ 6 millones en pagos de rescate a lo largo de un año. Poco después, SamSam pareció dejar de ser una forma activa de ransomware".

En 2019, uno de los mayores ataques de ransomware que apareció en las noticias fue el ataque RobbinHood al gobierno de la ciudad de Baltimore. Durante el ataque, todos los servidores, excepto los servicios esenciales, fueron desconectados. Los hackers exigieron 13 Bitcoin (equivalentes a $ 501,530.90, a partir de junio de 2021) en una nota de rescate para restaurar los servicios.

Se informó que Baltimore era susceptible a tal ataque debido al control descentralizado de su presupuesto tecnológico, así como a la falta de financiamiento de un seguro contra ataques cibernéticos.

El ransomware Maze, que combinaba actualizaciones regulares en el código del malware con amenazas de filtrar información robada si no se pagaba un rescate de seis cifras, fue una de las familias de ransomware más exitosas en 2020. Aunque el grupo "se retiró" a finales de 2020, se cree que varios de los miembros detrás del éxito del grupo pueden haber pasado a trabajar en otras operaciones criminales de ransomware.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

El 6 de mayo de 2021, la compañía Colonial Pipeline, responsable del 45% del combustible de la costa este, incluyendo gasolina, aceite de calefacción y otras formas de petróleo, descubrió que fue víctima de un ataque de ransomware. La compañía se vio obligada a cerrar algunos de sus sistemas, deteniendo temporalmente todas las operaciones del oleoducto.

En un artículo de Newsmatic sobre los ataques, Lance Whitney informó que el FBI identificó a la banda de ransomware DarkSide como los culpables del ataque. DarkSide, un grupo de hackers "profesional" y "organizado" que ya ha obtenido ganancias millonarias (las demandas de rescate oscilan entre $ 200,000 y $ 2 millones), generalmente se dirige a países angloparlantes y evita las naciones del bloque soviético, según Lior Div, CEO de la empresa de seguridad Cybereason. Div también señaló que DarkSide históricamente se dirige a controladores de dominio, lo que amenaza a redes enteras.

"Dado su importancia, es probable que este acto fuera conocido por el gobierno ruso, ya sea a través de comunicación directa o a través de la recopilación de inteligencia por parte del GRU y el SRV", dijo Mike Hamilton, ex CISO de Seattle y CISO de la firma de ciberseguridad del gobierno CI Security. Los motivos para el ataque pueden diferir entre DarkSide y el gobierno ruso, pero Hamilton agregó que el Kremlin podría estar usando a DarkSide para determinar si Estados Unidos "dibuja la línea" entre un acto criminal y un acto de agresión.

Se informó el 13 de mayo de 2021 que Colonial Pipeline pagó una demanda de rescate cercana a los $ 5 millones a cambio de una clave de descifrado.

¿Cómo puedo protegerme de un ataque de ransomware?

Diferentes familias de ransomware utilizan diferentes puntos de entrada, como redes de intercambio de archivos, publicidad maliciosa, phishing, archivos adjuntos de correo electrónico, enlaces maliciosos y el uso de sistemas infectados para escanear puertos abiertos vulnerables en computadoras conectadas a Internet. Por lo tanto, protegerse de un ataque de ransomware requiere simplemente una buena higiene de seguridad. Para implementaciones de estaciones de trabajo empresariales, el uso de Directiva de grupo para evitar la ejecución de programas desconocidos es una medida de seguridad efectiva contra ransomware y otros tipos de malware.

Asegurarse de que todos los dispositivos de su red reciban parches de seguridad regularmente y de manera oportuna, es la mejor defensa contra cualquier intento de pirateo, incluido el ransomware. Además, un ciclo de vida sensato para los dispositivos también es importante para la seguridad de la red: los sistemas obsoletos con sistemas operativos no compatibles como Windows XP no tienen lugar en una red conectada a Internet.

¡Alerta! Un nuevo gusano de Linux está propagándose

El proyecto No More Ransom (No Más Ransom en español), una colaboración entre Europol, la Policía Nacional Holandesa, Kaspersky Lab y McAfee, proporciona a las víctimas de una infección de ransomware herramientas de descifrado para eliminar el ransomware de más de 80 variantes de ransomware ampliamente conocidas, como GandCrab, Popcorn, LambdaLocker, Jaff, CoinVault y muchos otros.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Ransomware al descubierto: Guía imprescindible para profesionales , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.