¿Qué son los ataques de ransomware?
¿Qué son los ataques de ransomware?
El ransomware es un tipo de malware (software malicioso) que "bloquea" un sistema o cifra archivos, lo que hace que los datos no sean accesibles hasta que la víctima haya pagado una cantidad específica de dinero, generalmente en criptomonedas. Una vez realizado el pago del rescate, se supone que la víctima recibe una clave de descifrado para recuperar el acceso a los archivos y sistemas.
Estos ataques se han convertido rápidamente en uno de los métodos de extorsión preferidos por los ciberdelincuentes. A medida que las organizaciones guardan mayores cantidades de datos confidenciales (y que los modelos de trabajo remotos e híbridos exponen los puntos finales a nuevas vulnerabilidades) los hackers se aprovechan de este eficaz método de ciberdelincuencia.
Los ataques de ransomware se han convertido en algo tan generalizado que el FBI está interviniendo para orientar sobre cómo prevenirlos. El problema es que el ransomware y los grupos que lo utilizan evolucionan constantemente para ser más hábiles a la hora de evitar los métodos de detección típicos, como los antimalware y los antivirus.
¿Cómo funcionan los ataques de ransomware?
Un ataque típico de ransomware se produce en cuatro fases.
- Entrega
La primera fase, la entrega, suele realizarse mediante un correo electrónico de phishing diseñado para atraer al usuario a abrirlo. El correo electrónico a menudo parece provenir de una fuente de confianza, como una marca conocida. Las empresas de transporte, los bancos y los grandes minoristas suelen ser "suplantados" en los correos electrónicos de phishing con mensajes sobre un retraso en la entrega, compras fraudulentas, saldo bajo, etc.
Estos correos electrónicos están diseñados para que parezcan proceder de remitentes conocidos, pero incluyen archivos maliciosos como PDF o enlaces de Google Drive. Estos archivos contienen cargadores de malware que, una vez abierto el archivo, colocan el contenido malicioso en el sistema de la víctima y configuran el ataque.
2. Explotación
En la siguiente fase, la explotación, el ataque se extiende una vez que el malware se ha cargado con éxito. Esta fase suele comenzar después de que el destinatario abre un archivo adjunto de correo electrónico que transmite el malware a un dispositivo.
Si el dispositivo infectado está en una red, el malware identifica el controlador de dominio con el que se está comunicando el dispositivo. Una vez identificado, roba las credenciales, lo que le permite moverse por la red e infectar otros dispositivos.
3. Devolución de llamada
La siguiente fase es la devolución de llamada, en la que la carga útil del malware intenta comunicarse con sus servidores de mando y control donde se envían los datos robados.
4. Detonación
Los servidores de mando y control envían a la carga útil instrucciones sobre cómo llevar a cabo la fase final: la detonación. Durante esta fase, el malware roba los datos e instala el ransomware, cifrando y bloqueando el sistema o los datos para que una persona o empresa no pueda acceder a ellos. Por lo general, la víctima tiene una cantidad limitada de tiempo para pagar el rescate antes de que los datos se pierdan para siempre y a veces las demandas del rescate aumentan en las horas previas al vencimiento del pago.
Si se paga el rescate, se supone que las víctimas obtienen una clave de descifrado que les permite recuperar sus datos, pero no siempre obtienen dicha clave e, incluso cuando lo hacen, no siempre funciona.
En ataques recientes, algunos delincuentes han comenzado a robar los datos antes de cifrarlos y luego amenazan con exponerlos. De este modo, aunque las víctimas tengan buenas copias de seguridad, es más probable que paguen el rescate.
¿Cómo han evolucionado los ataques de ransomware?
Puede que el ransomware sea la herramienta preferida entre los ciberdelincuentes actuales, pero no es nuevo. De hecho, ha existido en varias formas durante décadas.
- El primer ransomware conocido fue introducido en 1989 por el Dr. Joseph Popp. Envió por correo postal disquetes titulados "Disquete introductorio de información sobre el SIDA" a los asistentes a la conferencia sobre el SIDA de la Organización Mundial de la Salud en Estocolmo. Estos disquetes contenían un código malicioso que se instalaba en los sistemas MS-DOS y empezaba a contar el número de veces que los usuarios arrancaban sus máquinas.
- A la 90.ª vez, el troyano del Dr. Popp ocultaba todos los directorios y cifraba todos los archivos de la unidad, inutilizándolos. Las víctimas veían entonces un mensaje que afirmaba ser de PC Cyborg Corporation que indicaba que el arrendamiento de software del propietario había caducado y que tenían que enviar 189 dólares estadounidenses a una dirección en Panamá para recuperar el acceso.
- La siguiente ola de ciberataques de tipo ransomware se llamó scareware. Los usuarios recibirían una advertencia sobre un error catastrófico en su ordenador, seguido de un comando para pagar y descargar software a fin de para limpiar o corregir su dispositivo. Por supuesto, el software era simplemente otro malware diseñado para robar información del ordenador.
- A medida que compartir archivos se fue haciendo más popular, se desarrolló otra forma común de ransomware, conocida como ataque de Police Locker. A menudo oculto en sitios de descarga P2P o sitios web que alojan material pirata o para adultos, este ataque cambiaba el escritorio del usuario para mostrar un mensaje que afirmaba que la policía había bloqueado el equipo debido a la sospecha de actividad ilegal. El miedo llevó a muchas víctimas a pagar cientos de dólares para desbloquear sus ordenadores. Sin embargo, en muchos de estos casos, Locker se podría haber eliminado simplemente reiniciando el sistema.
Vea las infecciones de ransomware como ataques destructivos, no como una situación en la que simplemente puede pagar a los malos y recuperar el control de su red.
Tipos/ejemplos de ataques de ransomware
Entre los innumerables tipos de ransomware y grupos de ransomware, algunos de los más comunes y conocidos son:
- GandCrab: según el informe Ransomware in Global Context de VirusTotal, esta familia ha sido la más prevalente en ataques de ransomware desde 2020, siendo el 78,5 % de las muestras tomadas para el informe proveniente de esta familia.
- REvil: este grupo es conocido por robar grandes cantidades de información en los sectores legal y del entretenimiento, así como en el sector público. La primera vez que aparecieron en los titulares fue en mayo de 2020, pero llevaron a cabo sucesivos ataques cada mes desde marzo hasta octubre de 2021, incluido el ataque a Kaseya VSA.
- WannaCry: es un criptogusano ransomware que tiene como objetivo el sistema operativo Microsoft Windows y que ha afectado a más de 300 000 sistemas (y la cifra sigue aumentando) en todo el mundo desde su lanzamiento en 2017.
- Ryuk: esta cepa de ransomware se ha relacionado con una serie de grupos que han impactado a sectores como la atención médica, el sector público y la educación, en especial en los sistemas escolares de EE. UU.
- DarkSide: asociada al grupo de ransomware DarkSide, esta variante fue responsable del ataque a Colonial Pipeline en 2021 y es uno de los ejemplos más notables de ransomware de doble extorsión. Este ataque en particular se utiliza normalmente como servicio.
- Evil Corp: este grupo es responsable de Dridex, un tipo de malware desplegado a través de correos electrónicos de phishing que es conocido por robar credenciales bancarias. Desde entonces se lo ha asociado con otros tipos de ransomware como WastedLocker, BitPaymer y DoppelPaymer.
- Maze: esta variante apareció por primera vez en mayo de 2019 y se utilizó en un ataque de ransomware a Cognizant, que provocó interrupciones en el servicio para algunos de sus clientes.
Así que, ¿hasta qué punto está seguro frente a los ataques de ransomware? Ejecute un análisis gratuito de exposición a las amenazas de Internet para averiguarlo.
El vínculo entre el ransomware y la criptomoneda
Al principio, las peticiones de rescate solían ser de unos pocos cientos de dólares porque los objetivos eran en su mayoría usuarios domésticos. Las víctimas del ransomware pagaban con moneda estándar, lo que significa que los delincuentes responsables corrían un mayor riesgo de ser identificados.
El aumento de las criptomonedas (monedas digitales basadas en anonimato y cifrado) ha cambiado la suerte de estos atacantes. Las criptomonedas como el bitcoin hacen que las transacciones sean casi imposibles de rastrear, lo que permite a los ciberdelincuentes borrar sus huellas. Más información.
En algunos casos recientes de ataques de ransomware, las organizaciones víctimas han pagado enormes cantidades a los atacantes, lo que puede ser uno de los motivos por los que estos ataques son cada vez más populares.
El pago del rescate no garantizará que se descifren sus datos ni que sus sistemas o datos dejen de estar en peligro
Ransomware como servicio (RaaS)
El ransomware como servicio es un subproducto fruto de la popularidad y el éxito del ransomware. Al igual que muchas ofertas de SaaS legal, las herramientas RaaS suelen ser de suscripción. A menudo son económicas y fáciles de obtener en la web oscura, lo que proporciona a cualquier persona una plataforma para lanzar un ataque, incluso para aquellos sin habilidades de programación. Si un ataque RaaS tiene éxito, el dinero del rescate se divide entre el proveedor de servicios, el codificador y el suscriptor.
¿Debería pagar el rescate?
Esta es la eterna pregunta cuando se trata del ransomware. ¿Pagar o no pagar?
Por supuesto, muchas organizaciones están dispuestas a pagar dado el riesgo de que sus datos estén expuestos, pero ¿es esa la manera correcta de hacer frente a la situación? Los datos de Gartner afirman que "el 80 % (de las organizaciones que pagan) sufren otro ataque de ransomware". Tal vez no sea una buena práctica pagar, pero ¿cuál es la alternativa, dejar que los ciberdelincuentes expongan sus datos al mundo?
Lamentablemente, no hay una respuesta correcta definida. El analista de Gartner, Paul Proctor, afirma que depende de usted: "Se trata de cuando los resultados de negocio se ven afectados por la falta de datos robados. La organización debe sopesar si merece la pena arriesgarse a realizar un pago".
¿Cuáles son los efectos del ransomware en las empresas?
Basta con consultar las noticias casi a diario para entender cómo está afectando el ransomware a las empresas de todos los sectores. Pero, en caso de que haya estado viviendo aislado del mundo exterior, he aquí algunas de las formas en que el ransomware puede dañar sus resultados:
-
Perderá dinero (y/o datos)
La complicación más obvia que presenta el ransomware reside en el hecho de que aquellos que lo implementan buscan mantener sus datos como rehén hasta que usted les pague una suma de dinero por su devolución. Este factor, por sí solo, supone una peligrosa trampa para su empresa, especialmente si trabaja en el sector sanitario, el sector público, las finanzas u otros sectores que manejan montones de datos confidenciales.
Si ignora las demandas de los ciberdelincuentes, se arriesga a exponer sus datos al público, o peor, a otros grupos de amenazas que pagarán grandes sumas por ellos. Pero, incluso si paga el rescate, lo más probable es que no recupere sus datos. Es por ello que la prevención del ransomware es clave.
-
Su reputación se verá afectada
Tanto si decide pagar el rescate como si no, está obligado a denunciar el delito y, finalmente, su organización acabará apareciendo en un titular. Muchos ya lo han experimentado y la lista seguirá creciendo mientras el ransomware siga evolucionando y las empresas sigan sin prepararse para afrontarlo.
A menudo, las empresas que son víctimas del ransomware pierden negocio debido a la pérdida de confianza de sus clientes. Si bien la empresa puede no ser culpable al 100 %, es probable que sea a ella a la que los clientes y los consumidores se lo achaquen.
-
Podría enfrentarse a repercusiones legales
Sí, pagar el rescate por un ataque de ransomware es ilegal. En una sentencia de 2020, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los EE. UU. y la Red de Cumplimiento de Delitos Financieros (FinCEN) declararon que era ilegal pagar un rescate en la mayoría de los casos.
Por si la pérdida de datos y de capital y el daño a la imagen pública no fueran lo suficientemente malos, los honorarios legales también pueden suponer un importante costo como resultado del ransomware.
El estado de los ataques cifrados 2021
Descargar el informe
Tres secretos para detener el Ransomware
Vea el webinario
Ransomware en 2022: lo que necesita saber y cómo prepararse
Vea el webinario
¿Cuáles son las perspectivas?
Gartner ha designado los "nuevos modelos de ransomware" como los principales riesgos a los que se enfrentan las organizaciones. Según el informe Emerging Risks Monitor Report de la empresa, la preocupación por el ransomware ha llegado a ser incluso mayor que la de la pandemia.
Si no estaba claro antes, ahora sí lo está: no solo hay que saber cómo prepararse para un ataque de ransomware, sino cómo prevenirlo por completo.
Detener todos los ataques de ransomware que se produzcan es imposible, pero mediante una rigurosa diligencia debida, una formación de concienciación y la tecnología adecuada, puede minimizar la amenaza que estos ataques representan para su empresa.
Pasos para eliminar el ransomware
Se puede eliminar el ransomware, pero debe hacerse con cuidado y precaución siguiendo un proceso paso a paso.
Paso 1: aísle el dispositivo infectado
Esto implica desconectar dicho dispositivo de cualquier conexión por cable o inalámbrica para poner el ransomware en cuarentena y evitar que se propague. Asegúrese de eliminar inmediatamente el malware del sistema si no le han exigido aún el rescate.
Paso 2: averigüe a qué tipo de ransomware se enfrenta
Con la ayuda de un profesional de la seguridad o de una herramienta, averigüe qué cepa de ransomware necesita ser eliminada. Conocer esa información le permitirá entender mejor cómo mitigar el ransomware que se ha abierto camino en su sistema.
Paso 3: elimine el ransomware
Elimine la infección de su disco duro con una herramienta de eliminación de ransomware o la ayuda de un profesional de seguridad de TI, o hágalo usted manualmente. A continuación, utilice un descifrador de ransomware o una herramienta de descifrado para recuperar los datos cifrados que se mantienen como rehenes.
Paso 4: restaure el sistema con una copia de seguridad
Utilice un almacén de sistemas o recupere los archivos del sistema operativo comprometido. Como parte de este proceso, es importante que se asegure de haber hecho una copia de seguridad de sus datos, ya que será la única forma de acceder a ellos una vez que el ransomware los haya cifrado. Esta es una de las mejores prácticas tanto para el ransomware como para las infracciones de datos.
Protección frente a ransomware
Para no quedarse atrás y hacer frente a la amenaza constante del ransomware siempre en evolución, necesita una estrategia eficaz contra el ransomware, incluidos principios y herramientas que:
- Poner en cuarentena e inspeccionar el contenido sospechoso con un sandbox basado en IA
- Inspeccionen todo el tráfico cifrado TLS/SSL
- Implementar una protección siempre activa siguiendo las conexiones fuera de la red
La combinación de soluciones modernas con un enfoque defensivo proactivo está ampliamente considerada como el modelo de protección contra el ransomware más eficaz del manual de ciberseguridad actual.
Cómo puede ayudar Zscaler
Zscaler ofrece protección contra el ransomware nativa de la nube para proteger a las organizaciones frente al ransomware a través de Zscaler Zero Trust Exchange™, una plataforma que:
1. Utiliza cuarentena de sandbox impulsada por IA
Con una cuarentena de sandbox basada en IA y desarrollada sobre una arquitectura de proxy nativa de la nube, los archivos se pueden poner en cuarentena y analizar completamente antes de la entrega, lo que prácticamente elimina el riesgo de infecciones de paciente cero. A diferencia de los enfoques de paso heredados, se garantiza que los archivos sospechosos o nunca vistos serán retenidos para su análisis y no llegarán a su entorno.
Una solución nativa de la nube e impulsada por IA como Zscaler Cloud Sandbox (parte de Zero Trust Exchange) ofrece beneficios que van más allá de los de las soluciones antimalware heredadas, incluidos:
- Control total de las acciones en cuarentena con una política granular definida por grupos, usuarios y tipo de contenido
- Veredictos de seguridad en tiempo real sobre archivos desconocidos gracias al aprendizaje automático
- Descargas de archivos rápidas y seguras; cualquier archivo identificado como malicioso será marcado para entrar en cuarentena
2. Inspecciona todo el tráfico cifrado
Zscaler opera una arquitectura de proxy nativa de la nube que le permite realizar una inspección SSL completa a escala sin preocuparse por el rendimiento o por ampliar la potencia de procesamiento de costosos dispositivos.
Al utilizar una nube global distribuida en más de 150 centros de datos en los cinco continentes, se puede inspeccionar exhaustivamente el tráfico SSL en busca de amenazas ocultas de ransomware sin sufrir caídas de rendimiento, incluso si el ancho de banda del usuario aumenta drásticamente.
3. Sigue las conexiones fuera de la red
Zero Trust Exchange puede ofrecer las dos estrategias mencionadas anteriormente (cuarentena de sandbox impulsada por IA e inspección completa de SSL) a los usuarios independientemente de su ubicación o dispositivo. Cada conexión a través de una red recibe una protección idéntica para descubrir y frustrar tanto amenazas conocidas como desconocidas, lo que mantiene a su organización libre de infecciones de ransomware de paciente cero.
Este enfoque para prevenir el ransomware comienza protegiendo las conexiones de los usuarios. Los usuarios que están fuera de la red simplemente agregan Zscaler Client Connector, nuestro agente de punto final ligero, a sus ordenadores portátiles o dispositivos móviles (compatible con Android, iOS, macOS y sistemas operativos Windows) para disfrutar de la protección de las mismas herramientas de seguridad, la misma aplicación de políticas y los mismos controles de acceso que obtendrían en su sede central.
Sea como sea, la prevención de los ataques de ransomware comienza con la confianza cero y el intercambio de confianza cero.