¿Qué son los ataques de ransomware?

¿Cómo funcionan los ataques de ransomware?

Un ataque típico de ransomware se produce en cuatro fases.

1. Entrega

La primera fase, la entrega, suele realizarse mediante un correo electrónico de phishing diseñado para atraer al usuario a abrirlo. El correo electrónico a menudo parece provenir de una fuente de confianza, como una marca conocida. Las empresas de transporte, los bancos y los grandes minoristas suelen ser "suplantados" en los correos electrónicos de phishing con mensajes sobre un retraso en la entrega, compras fraudulentas, saldo bajo, etc.

Estos correos electrónicos están diseñados para que parezcan proceder de remitentes conocidos, pero incluyen archivos maliciosos como PDF o enlaces de Google Drive. Estos archivos contienen cargadores de malware que, una vez abierto el archivo, colocan el contenido malicioso en el sistema de la víctima y configuran el ataque.

2. Explotación

En la siguiente fase, la explotación, el ataque se extiende una vez que el malware se ha cargado con éxito. Esta fase suele comenzar después de que el destinatario abre un archivo adjunto de correo electrónico que transmite el malware a un dispositivo.

Si el dispositivo infectado está en una red, el malware identifica el controlador de dominio con el que se está comunicando el dispositivo. Una vez identificado, roba las credenciales, lo que le permite moverse por la red e infectar otros dispositivos.

3. Devolución de llamada

La siguiente fase es la devolución de llamada, en la que la carga útil del malware intenta comunicarse con sus servidores de mando y control, a donde se envían los datos robados.

4. Detonación

Los servidores de mando y control envían a la carga útil instrucciones sobre cómo llevar a cabo la fase final: la detonación. Durante esta fase, el malware roba los datos e instala el ransomware, cifrando y bloqueando el sistema o los datos para que una persona o empresa no pueda acceder a ellos. Por lo general, la víctima tiene una cantidad limitada de tiempo para pagar el rescate antes de que los datos se pierdan para siempre. A veces, las demandas del rescate aumentan en las horas previas al vencimiento del pago.

Si se paga el rescate, se supone que las víctimas obtienen una clave de descifrado que les permite recuperar sus datos, pero no siempre obtienen dicha clave e, incluso cuando lo hacen, no siempre funciona.

En ataques recientes, algunos delincuentes han comenzado a robar los datos antes de cifrarlos y luego amenazan con exponerlos. De este modo, aunque las víctimas tengan buenas copias de seguridad, es más probable que paguen el rescate.

¿Cómo han evolucionado los ataques de ransomware?

Puede que el ransomware sea la herramienta preferida entre los ciberdelincuentes actuales, pero no es nuevo. De hecho, ha existido en varias formas durante décadas.

El primer ransomware conocido fue introducido en 1989 por el Dr. Joseph Popp. Envió por correo postal disquetes titulados "Disquete introductorio de información sobre el SIDA" a los asistentes a la conferencia sobre el SIDA de la Organización Mundial de la Salud en Estocolmo. Estos disquetes contenían un código malicioso que se instalaba en los sistemas MS-DOS y empezaba a contar el número de veces que los usuarios arrancaban sus máquinas.

A la 90.ª vez, el troyano del Dr. Popp ocultaba todos los directorios y cifraba todos los archivos de la unidad, inutilizándolos. Las víctimas veían entonces un mensaje que afirmaba ser de PC Cyborg Corporation que indicaba que el arrendamiento de software del propietario había caducado y que tenían que enviar 189 dólares estadounidenses a una dirección en Panamá para recuperar el acceso.

La siguiente ola de ciberataques de tipo ransomware se llamó scareware. Los usuarios recibirían una advertencia sobre un error catastrófico en su ordenador, seguido de un comando para pagar y descargar software a fin de para limpiar o corregir su dispositivo. Por supuesto, el software era simplemente otro malware diseñado para robar información del ordenador.

A medida que compartir archivos se fue haciendo más popular, se desarrolló otra forma común de ransomware, conocida como ataque de Police Locker. A menudo oculto en sitios de descarga P2P o sitios web que alojan material pirata o para adultos, este ataque cambiaba el escritorio del usuario para mostrar un mensaje que afirmaba que la policía había bloqueado el equipo debido a la sospecha de actividad ilegal. El miedo llevó a muchas víctimas a pagar cientos de dólares para desbloquear sus ordenadores. Sin embargo, en muchos de estos casos, Locker se podría haber eliminado simplemente reiniciando el sistema.

Tipos/ejemplos de ataques de ransomware

Entre los innumerables tipos de ransomware y grupos de ransomware, algunos de los más comunes y conocidos son:

• GandCrab: según el informe Ransomware in Global Context de VirusTotal, esta familia ha sido la más prevalente en ataques de ransomware desde 2020, con un 78,5 % de las muestras tomadas para el informe proveniente de esta familia.
• REvil: este grupo es conocido por robar grandes cantidades de información en los sectores legal y del entretenimiento, así como en el sector público. La primera vez que aparecieron en los titulares fue en mayo de 2020, pero llevaron a cabo sucesivos ataques cada mes desde marzo hasta octubre de 2021, incluido el ataque a Kaseya VSA.
• WannaCry: es un criptogusano ransomware que tiene como objetivo el sistema operativo Microsoft Windows y que ha afectado a más de 300 000 sistemas (y la cifra sigue aumentando) en todo el mundo desde su lanzamiento en 2017.
• Ryuk: esta cepa de ransomware se ha relacionado con una serie de grupos que han impactado a sectores como la asistencia médica, el sector público y la educación, en especial en los sistemas escolares de EE. UU.
• DarkSide: asociada al grupo de ransomware DarkSide, esta variante fue responsable del ataque a Colonial Pipeline en 2021 y es uno de los ejemplos más notables de ransomware de doble extorsión. Este ataque en particular se utiliza normalmente como servicio.
• Evil Corp: este grupo es responsable de Dridex, un tipo de malware desplegado a través de correos electrónicos de phishing que es conocido por robar credenciales bancarias. Desde entonces se lo ha asociado con otros tipos de ransomware como WastedLocker, BitPaymer y DoppelPaymer.
• Maze: esta variante apareció por primera vez en mayo de 2019 y se utilizó en un ataque de ransomware a Cognizant, que provocó interrupciones en el servicio para algunos de sus clientes.

Así que, ¿hasta qué punto está seguro frente a los ataques de ransomware? Ejecute un análisis gratuito de exposición a las amenazas de Internet para averiguarlo.

What Are the 7 Main Ransomware Attack Vectors?

Ransomware attackers are always working to find new ways to innovate their attacks, but several strategies stand out as the most popular (and effective) means of infiltrating systems. These are the most common ransomware attack vectors:

• Phishing: Deceptive emails or similar messages, usually laden with infected links or attachments, trick users into letting ransomware onto their system.
• Drive-by downloads: Attackers exploit software, OS, or browser vulnerabilities to enable stealthy downloads of ransomware when victim interact with compromised websites or links.
• Software vulnerabilities: Attackers exploit weaknesses in applications or systems, giving them entry points into a network, where they can deploy ransomware directly.
• Malicious websites: Attackers create fake or copycat sites that users mistake for legitimate ones, which host ransomware that they entice visitors into downloading under false pretenses.
• Watering hole attacks: Attackers compromise legitimate websites used by their intended victims, and then use social engineering to trick visitors into downloading ransomware.
• Remote Desktop Protocol (RDP) attacks: Hackers gain illicit access to RDP connections, generally by cracking or stealing login credentials, to deploy ransomware directly onto a target network.
• Malvertising (malicious advertising): Attackers place infected ads on otherwise legitimate website, which infect systems with ransomware when victims interact with the ad.

¿Debería pagar el rescate?

Esta es la eterna pregunta cuando se trata del ransomware. ¿Pagar o no pagar?

Por supuesto, muchas organizaciones están dispuestas a pagar dado el riesgo de que sus datos estén expuestos, pero ¿es esa la manera correcta de hacer frente a la situación? Los datos de Gartner afirman que "el 80 % (de las organizaciones que pagan) sufren otro ataque de ransomware". Tal vez no sea una buena práctica pagar, pero ¿cuál es la alternativa, dejar que los ciberdelincuentes expongan sus datos al mundo?

Lamentablemente, no hay una respuesta correcta definida. El analista de Gartner, Paul Proctor, afirma que depende de usted: "Se trata de cuando los resultados de negocio se ven afectados por la falta de datos robados. La organización debe sopesar si merece la pena arriesgarse a realizar un pago".

¿Cuáles son los efectos del ransomware en las empresas?

Basta con consultar las noticias casi a diario para entender cómo está afectando el ransomware a las empresas de todos los sectores. Pero, en caso de que haya estado viviendo aislado del mundo exterior, he aquí algunas de las formas en que el ransomware puede dañar sus resultados:

Perderá dinero y/o datos

La complicación más obvia que presenta el ransomware reside en el hecho de que aquellos que lo implementan buscan mantener sus datos como rehén hasta que usted les pague una suma de dinero por su devolución. Este factor, por sí solo, supone una peligrosa trampa para su empresa, especialmente si trabaja en el sector sanitario, el sector público, las finanzas u otros sectores que manejan montones de datos confidenciales.

Si ignora las demandas de los ciberdelincuentes, se arriesga a exponer sus datos al público, o peor, a otros grupos de amenazas que pagarán grandes sumas por ellos. Pero, incluso si paga el rescate, lo más probable es que no recupere sus datos. Es por ello que la prevención del ransomware es clave.

Su reputación se verá afectada

Tanto si decide pagar el rescate como si no, está obligado a denunciar el delito y, finalmente, su organización acabará apareciendo en un titular. Muchos ya lo han experimentado y la lista seguirá creciendo mientras el ransomware siga evolucionando y las empresas sigan sin prepararse para afrontarlo.

A menudo, las empresas que son víctimas del ransomware pierden negocio debido a la pérdida de confianza de sus clientes. Si bien la empresa puede no ser culpable al 100 %, es probable que sea a ella a la que los clientes y los consumidores se lo achaquen.

Podría enfrentarse a repercusiones legales

Sí, pagar el rescate por un ataque de ransomware es ilegal. En una sentencia de 2020, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los EE. UU. y la Red de Cumplimiento de Delitos Financieros (FinCEN) declararon que era ilegal pagar un rescate en la mayoría de los casos.

Por si la pérdida de datos y de capital y el daño a la imagen pública no fueran lo suficientemente malos, los honorarios legales también pueden suponer un importante costo como resultado del ransomware.

Pasos para eliminar el ransomware

Se puede eliminar el ransomware, pero debe hacerse con cuidado y precaución siguiendo un proceso paso a paso.

Paso 1: aísle el dispositivo infectado

Esto implica desconectar dicho dispositivo de cualquier conexión por cable o inalámbrica para poner el ransomware en cuarentena y evitar que se propague. Asegúrese de eliminar inmediatamente el malware del sistema si no le han exigido aún el rescate.

Paso 2: averigüe a qué tipo de ransomware se enfrenta

Con la ayuda de un profesional de la seguridad o de una herramienta, averigüe qué cepa de ransomware necesita ser eliminada. Conocer esa información le permitirá entender mejor cómo mitigar el ransomware que se ha abierto camino en su sistema.

Paso 3: elimine el ransomware

Elimine la infección de su disco duro con una herramienta de eliminación de ransomware o la ayuda de un profesional de seguridad de TI, o hágalo usted manualmente. A continuación, utilice un descifrador de ransomware o una herramienta de descifrado para recuperar los datos cifrados que se mantienen como rehenes.

Paso 4: restaure el sistema con una copia de seguridad

Utilice un almacén de sistemas o recupere los archivos del sistema operativo vulnerado. Como parte de este proceso, es importante que se asegure de haber hecho una copia de seguridad de sus datos, ya que será la única forma de acceder a ellos una vez que el ransomware los haya cifrado. Esta es una de las mejores prácticas tanto para el ransomware como para las infracciones de datos.

Protección frente a ransomware

Para no quedarse atrás y hacer frente a la amenaza constante del ransomware siempre en evolución, necesita una estrategia eficaz contra el ransomware, que incluya principios y herramientas que:

• Poner en cuarentena e inspeccionar el contenido sospechoso con un sandbox basado en IA
• Inspeccionen todo el tráfico cifrado TLS/SSL
• Implementar una protección siempre activa siguiendo las conexiones fuera de la red

La combinación de soluciones modernas con un enfoque defensivo proactivo está ampliamente considerada como el modelo de protección contra el ransomware más eficaz del manual de ciberseguridad actual.

Cómo puede ayudar Zscaler

Zscaler ofrece protección contra el ransomware nativa de la nube para proteger a las organizaciones frente a este a través de Zscaler Zero Trust Exchange™, una plataforma que:

1. Utiliza cuarentena de sandbox impulsada por IA

Con una cuarentena de sandbox basada en IA y desarrollada sobre una arquitectura de proxy nativa de la nube, los archivos se pueden poner en cuarentena y analizar completamente antes de la entrega, lo que prácticamente elimina el riesgo de infecciones de paciente cero. A diferencia de los enfoques de paso heredados, se garantiza que los archivos sospechosos o nunca vistos serán retenidos para su análisis y no llegarán a su entorno.

Una solución nativa de la nube e impulsada por IA como Zscaler Cloud Sandbox (parte de Zero Trust Exchange) ofrece beneficios que van más allá de los de las soluciones antimalware heredadas, incluidos:

• Control total de las acciones en cuarentena con una política granular definida por grupos, usuarios y tipo de contenido
• Veredictos de seguridad en tiempo real sobre archivos desconocidos gracias al aprendizaje automático
• Descargas de archivos rápidas y seguras; cualquier archivo identificado como malicioso será marcado para entrar en cuarentena

2. Inspecciona todo el tráfico cifrado

Zscaler opera una arquitectura de proxy nativa de la nube que le permite realizar una inspección SSL completa a escala sin preocuparse por el rendimiento o por ampliar la potencia de procesamiento de costosos dispositivos. 

Al utilizar una nube global distribuida en más de 150 centros de datos en los cinco continentes, el tráfico SSL se puede inspeccionar exhaustivamente en busca de amenazas ocultas de ransomware sin sufrir bajadas de rendimiento, incluso si el ancho de banda del usuario aumenta drásticamente.

3. Sigue las conexiones fuera de la red

Zero Trust Exchange puede ofrecer las dos estrategias mencionadas anteriormente (cuarentena de sandbox impulsada por IA e inspección completa de SSL) a los usuarios independientemente de su ubicación o dispositivo. Cada conexión a través de una red recibe una protección idéntica para descubrir y frustrar tanto amenazas conocidas como desconocidas, lo que mantiene a su organización libre de infecciones de ransomware de paciente cero.

Este enfoque para prevenir el ransomware comienza protegiendo las conexiones de los usuarios. Los usuarios que están fuera de la red simplemente agregan Zscaler Client Connector, nuestro agente de punto final ligero, a sus ordenadores portátiles o dispositivos móviles (compatible con Android, iOS, macOS y sistemas operativos Windows) para disfrutar de la protección de las mismas herramientas de seguridad, la misma aplicación de políticas y los mismos controles de acceso que obtendrían en su sede central.

Sea como sea, la prevención de los ataques de ransomware comienza con la confianza cero y el Zero Trust Exchange