¿Qué son los ataques de ransomware?

¿Cómo funcionan los ataques de ransomware?

Una secuencia típica de ataque de ransomware tiene este aspecto:

Compromiso inicial

Numerosos ataques de ransomware comienzan con correos electrónicos de phishing, que a menudo se hacen pasar por mensajes de minoristas, bancos u otras entidades de confianza sobre retrasos en las entregas, compras fraudulentas, saldos bajos, etc. Dichos correos electrónicos incluyen archivos o enlaces infectados que, cuando se abren, colocan software malicioso en el ordenador o dispositivo móvil de la víctima para preparar un ataque.

Movimiento lateral

Una vez que el malware infecta un dispositivo, el ataque se propaga. Si el dispositivo infectado está en una red, el malware intentará comprometer un controlador de dominio o robar credenciales que le permitan moverse lateralmente por la red e infectar otros dispositivos.

Ejecución

El malware se ejecutará una vez que tenga suficiente acceso, exfiltrándose y/o robando los datos de la víctima. Finalmente, la víctima recibirá una demanda de rescate, generalmente con un límite de tiempo antes de que los datos se vendan, se filtren o sean irrecuperables. Si la víctima paga, se supone que recibirá una clave de descifrado que le permitirá recuperar sus datos, pero no siempre lo hace, e incluso cuando lo hace, no siempre funciona.

¿Cómo han evolucionado los ataques de ransomware?

El ransomware comenzó en 1989, cuando los asistentes a una conferencia internacional sobre el SIDA recibieron disquetes de “Información sobre SIDA” cargados con un virus troyano. Después de 90 reinicios en un sistema infectado, el troyano ocultaba todos los directorios, cifraba la totalidad de los archivos en el disco duro infectado y mostraba una nota de "PC Cyborg Corporation" solicitando un pago de 189 dólares estadounidenses a una dirección en Panamá para restablecer el acceso.

La siguiente ola de ciberataques de tipo ransomware se produjo a principios de la década de 1990 con el “scareware”, llamado así por el uso de técnicas de ingeniería social basadas en el miedo. Los ordenadores infectados mostraban un mensaje de error, seguido de una oferta para comprar y descargar software para solucionar el problema. Por supuesto, el software era más malware, a menudo diseñado para robar datos.

El auge del intercambio de archivos popularizó una categoría de ransomware llamada casilleros policiales, casilleros de pantalla o simplemente casilleros. Los casilleros, a menudo ocultos en sitios que albergan descargas entre pares o contenido para adultos, mostraban un mensaje que explicaba que el sistema había sido bloqueado (con frecuencia citando a una agencia gubernamental o policial como el FBI, sospecha de actividad ilegal, etc.) hasta que el usuario pagara una multa. Muchos casilleros simplemente restringían el movimiento del ratón y un reinicio del sistema podía restaurar las funciones normales, pero el miedo llevó a muchas víctimas a pagar.

El vínculo entre el ransomware y la criptomoneda

Al principio, las demandas de rescate solían alcanzar unos pocos cientos de dólares a usuarios individuales. Además, los pagos de rescate generalmente se realizaban con tarjetas de pago comunes, lo que hacía mucho más fácil rastrear las transacciones y detectar a los autores de amenazas.

Hoy en día, las innovaciones en materia de ciberdelincuencia y tecnología criptográfica han ayudado al ransomware a ganar en popularidad. En particular, bitcoin y otras criptomonedas (monedas digitales basadas en el anonimato y el cifrado) han permitido a los ciberdelincuentes cubrir sus huellas al hacer que las transacciones sean casi imposibles de rastrear.

Ransomware como servicio (RaaS)

Como consecuencia de esa mayor popularidad y éxito, las herramientas RaaS son a menudo económicas y por suscripción, al igual que las ofertas legales de SaaS. Muchas están disponibles en la web oscura y permiten que incluso personas sin conocimientos de programación lancen un ciberataque y obtengan una parte de sus ganancias.

Ransomware de doble extorsión

Con el tiempo, una mejor tecnología de copia de seguridad y descifrado de datos comenzó a inclinar la balanza a favor de las víctimas. En respuesta, en 2019, un grupo criminal llamado TA2102 perpetró el primer ataque de ransomware de doble extorsión de alto perfil, cifrando y exfiltrando los datos de la víctima antes de amenazar con hacerlos públicos a menos que se les pagara 2,3 millones de dólares estadounidenses en bitcoins. De esta manera, incluso si la víctima hubiera logrado restaurar sus datos, seguiría sufriendo una infracción de datos grave a menos que pagara.

Ransomware sin cifrado

En 2022 y 2023, surgió una maliciosa tendencia que redefinió el ransomware en su esencia. En lo que supone tanto una evolución como una especie de regresión, los ataques de ransomware sin cifrado no codifican los archivos de las víctimas. Por el contrario, los atacantes se centraron únicamente en extraer datos confidenciales como moneda de cambio para la extorsión.

Las víctimas de estos ataques tienden a pertenecer a sectores que manejan PII altamente confidenciales, como los sectores legal y sanitario. Puesto que su principal preocupación es evitar la filtración de sus datos confidenciales, muchos pagarán el rescate independientemente del cifrado. Debido a que los datos no están cifrados, su recuperación es más rápida y sencilla, lo que a menudo se traduce en pagos de rescate más rápidos.

Tipos/ejemplos de ataques de ransomware

Entre los innumerables tipos de ransomware y grupos de ransomware, algunos de los más comunes y conocidos son:

• CryptoLocker: este ransomware, caracterizado por su fuerte cifrado y su enorme botnet, tuvo tanto éxito en 2013 y 2014 que sigue inspirando ataques que lo imitan.
• Dridex: un destacado troyano conocido por robar credenciales bancarias a través de correos electrónicos de phishing, está asociado con tipos de ransomware como WastedLocker, BitPaymer y DoppelPaymer.
• Wannacry: un ransomware de tipo criptogusano que tiene como objetivo el sistema operativo Microsoft Windows y ha afectado a más de 300 000 sistemas (en aumento) en todo el mundo desde su lanzamiento en 2017.
• NoPetya: surgió poco después de WannaCry y parecía ser un ransomware, pero en realidad se trataba de un virulento "ware de destrucción" atribuido al grupo de hackers ruso Sandworm.
• Ryuk: esta cepa de ransomware se ha vinculado a una serie de grupos que han afectado a sectores como la atención sanitaria, el sector público y la educación, particularmente los sistemas escolares de EE. UU.
• REvil: conocido por infracciones en los sectores legal, de entretenimiento y público, REvil lanzó una avalancha de ataques entre mayo de 2020 y octubre de 2021, incluido el ataque Kaseya VSA.
• DarkSide: esta variante, responsable del ataque a Colonial Pipeline de 2021, es uno de los ejemplos más famosos de ransomware de doble extorsión. Este ataque en particular se utiliza normalmente como servicio.
• GandCrab: el informe Ransomware in a Global Context 2021 de VirusTotal determinó que GandCrab era el ataque de ransomware más frecuente, con el 78,5 % de las muestras tomadas para el informe.

¿Cuáles son los 7 principales vectores de ataque de ransomware?

Los atacantes de ransomware están continuamente trabajando para encontrar nuevas formas de innovar sus ataques, pero son varias las estrategias que destacan como los medios más populares (y efectivos) para infiltrarse en los sistemas. Estos son los vectores de ataque de ransomware más comunes:

• Phishing: correos electrónicos engañosos o mensajes similares, generalmente cargados de enlaces o archivos adjuntos infectados, engañan a los usuarios para que permitan el acceso del ransomware a su sistema.
• Descargas no autorizadas: los atacantes aprovechan las vulnerabilidades del software, el sistema operativo o el navegador para permitir descargas imperceptibles de ransomware mientras la víctima interactúa con sitios web o enlaces comprometidos.
• Vulnerabilidades de software: los atacantes aprovechan las debilidades de las aplicaciones o sistemas, que les proporcionan puntos de entrada a una red, donde pueden implementar ransomware directamente.
• Sitios web maliciosos: los atacantes crean sitios falsos o imitadores que los usuarios confunden con sitios legítimos, y en los que alojan ransomware que incita a los visitantes a descargar con falsos pretextos.
• Ataques de abrevadero: los atacantes comprometen sitios web legítimos utilizados por sus víctimas objetivo y posteriormente utilizan la ingeniería social para engañar a los visitantes para que descarguen ransomware.
• Ataques de protocolo de escritorio remoto (RDP): los piratas informáticos obtienen acceso ilícito a conexiones RDP, generalmente descifrando o robando credenciales de inicio de sesión, para implementar ransomware directamente en una red objetivo.
• Publicidad maliciosa: los atacantes colocan anuncios infectados en sitios web legítimos, que infectan los sistemas con ransomware cuando las víctimas interactúan con el anuncio.

¿Debería pagar el rescate?

La pregunta más difícil para muchas víctimas de ransomware: "¿Pagar o no pagar?"

Muchas organizaciones están dispuestas a pagar para proteger sus datos, pero ¿es esa la decisión correcta? Múltiples informes desde 2021 han determinado que alrededor del 80 % de las organizaciones que lo hacen vuelven a sufrir ataques. Más allá de eso, tal y como expresó el CISO de Zscaler, Brad Moldenhauer, “Existe un argumento real de que pagar rescates digitales podría ayudar e incitar al terrorismo y ciertamente lo hace con el delito cibernético”.

También hay otros aspectos a tener en cuenta:

• No hay garantía de que recupere todos sus datos, suponiendo que, para empezar, esa fuera la intención del atacante (lea sobre NotPetya).
• En algunas circunstancias y jurisdicciones, pagar un rescate es ilegal. Más información.
• En el caso de la doble extorsión, incluso si sus esfuerzos de reparación logran recuperar sus datos, elegir no pagar significa permitir que los autores de amenazas expongan sus datos al mundo.

A menudo, la elección depende de las circunstancias únicas de su organización, incluida la forma en que sus operaciones, usuarios y clientes se ven afectados por una infracción y la posibilidad de no recuperar sus datos.

¿Cuáles son los efectos del ransomware en las empresas?

El ransomware está afectando a organizaciones de todo tipo en todo el mundo, con más ataques cada año, y puede tener efectos negativos en los ingresos, la opinión pública y más.

Pérdida de capital y/o datos

Elegir entre perder datos y perder dinero es un dilema peligroso, especialmente en sectores que manejan datos confidenciales. Si ignora las demandas de rescate, corre el riesgo de sufrir una filtración de datos. E incluso si paga, no hay garantía de que recupere sus datos.

Daño a la reputación

Pague o no, está obligado a denunciar el delito, lo que puede generar cobertura en los medios de comunicación. Cuando los ataques llegan a las noticias, las organizaciones víctimas corren el riesgo de perder negocio, la confianza de los clientes o ambos, incluso aunque presumiblemente las propias organizaciones no tengan la culpa.

Repercusiones legales

En un número cada vez mayor de estados de EE. UU., pagar un rescate es ilegal en la mayoría de los casos, y otras jurisdicciones en todo el mundo están planteándose lo mismo. Además, una infracción puede dar lugar a un escrutinio regulatorio adicional, lo que puede generar multas y otros costes legales.

Pasos para eliminar el ransomware

El ransomware se puede superar, pero hay que hacerlo paso a paso:

Paso 1: aísle los dispositivos infectados, desconectándolos de cualquier conexión por cable o inalámbrica (incluso desconectándolos de la toma de CA, si es necesario) para ayudar a evitar que la infección de ransomware se propague. Si descubre el ransomware antes de que se ejecute, es posible que pueda eliminarlo del sistema antes de que el atacante pueda exigir un rescate.

Paso 2: descubra a qué se enfrenta y si existe una herramienta de descifrado que pueda ayudarle a recuperar datos encriptados. Sin embargo, no debería contar con ello. Los descifradores suelen ser ineficaces contra el ransomware sofisticado y no ayudarán mucho en el caso de una doble extorsión.

Paso 3: recupere sus datos perdidos, generalmente restaurándolos desde una copia de seguridad. Mantener copias de seguridad periódicas es la única forma de garantizar que pueda recuperar todos sus datos una vez que estén cifrados. Si por algún motivo no puede recuperar sus datos, analice detenidamente las posibles consecuencias legales y financieras antes de cumplir con cualquier demanda de rescate.

Paso 4: elimine el ransomware con la ayuda de un profesional de seguridad, quien debe realizar una investigación exhaustiva de la causa raíz para determinar la vulnerabilidad que permitió el ataque.

Paso 5: evalúe la causa de la infección y tome medidas para reforzar sus defensas allí donde fracasaron, ya sea un exploit de puerta trasera, uno fallo en el filtrado de su correo electrónico, una falta de capacitación suficiente del usuario u otra cosa. Los ataques repetidos pueden suceder y suceden, y usted puede estar mejor preparado.

La prevención del ransomware es clave

La realidad es que una vez que sus datos se cifran o se exfiltran, de una forma u otra, los pierde. Es por ello que la prevención es la verdadera clave para la defensa frente al ransomware.

Probablemente sea imposible detener todos y cada unos de los ataques de ransomware que se le presenten, pero con la debida diligencia, la formación en materia de concienciación sobre ciberseguridad y la tecnología adecuada, puede minimizar el riesgo. Necesita una estrategia antiransomware eficaz, que incluya principios y herramientas que:

• Poner en cuarentena e inspeccionar el contenido sospechoso con un sandbox basado en IA
• Inspeccionen todo el tráfico cifrado TLS/SSL
• Implementar una protección siempre activa siguiendo las conexiones fuera de la red

La combinación de soluciones modernas con un enfoque defensivo proactivo está ampliamente considerada como el modelo de protección contra el ransomware más eficaz del manual de ciberseguridad actual.

Cómo puede ayudar Zscaler

Zscaler ofrece protección contra el ransomware nativa de la nube para proteger a las organizaciones frente a este a través de Zscaler Zero Trust Exchange™, una plataforma que:

Utiliza cuarentena de sandbox impulsada por IA

Zscaler puede poner en cuarentena y analizar integralmente archivos sospechosos o nunca antes vistos antes de la entrega, eliminando virtualmente el riesgo de infecciones del paciente cero. A diferencia de los enfoques de paso heredados, dichos archivos no llegarán a su entorno a menos que primero se consideren seguros.

Una solución nativa de la nube impulsada por IA como Zscaler Sandbox (parte de Zero Trust Exchange) ofrece beneficios que van más allá de las soluciones antivirus/anti-malware heredadas. Entre ellos:

• Control total de las acciones en cuarentena con una política granular definida por grupos, usuarios y tipo de contenido
• Veredictos de seguridad en tiempo real sobre archivos desconocidos gracias al aprendizaje automático
• Descargas de archivos rápidas y seguras; cualquier archivo identificado como malicioso será marcado para entrar en cuarentena

Inspecciona todo el tráfico cifrado

Zscaler opera una arquitectura de proxy nativa de la nube que le permite realizar inspección TLS/SSL completa a escala sin preocuparse por las limitaciones de rendimiento de costosos dispositivos. 

Al utilizar una nube global distribuida en más de 150 centros de datos en los cinco continentes, se puede inspeccionar exhaustivamente el tráfico TLS/SSL en busca de amenazas ocultas de ransomware sin sufrir caídas de rendimiento, incluso si el ancho de banda del usuario aumenta drásticamente.

Sigue conexiones fuera de la red

Zero Trust Exchange ofrece sandboxing impulsado por IA e inspección TLS/SSL a usuarios en cualquier lugar y en cualquier dispositivo. Toda conexión a través de una red recibe una protección idéntica para descubrir y frustrar tanto las amenazas conocidas como las desconocidas, lo que mantiene a su organización libre de infecciones de ransomware de paciente cero.

Este enfoque para prevenir el ransomware comienza protegiendo las conexiones de los usuarios. Los usuarios ajenos a la red simplemente agregan Zscaler Client Connector, nuestro agente de punto final ligero, a sus ordenadores portátiles o dispositivos móviles (con soporte para Android, iOS, macOS y Windows) para disfrutar de la protección de las mismas herramientas, aplicación de políticas y controles de acceso que tendrían si estuvieran en la oficina central.