¿Qué es el ransomware?

El ransomware es una forma de software malicioso que toma el control de los datos o el dispositivo de una víctima y le presenta un terrible ultimátum: o paga un rescate o afronta las consecuencias. Ya sea que se trate de un bloqueo prolongado o de una filtración generalizada de datos, la amenaza casi siempre es lo suficientemente alta como para convencer a las víctimas de que paguen. 

La diferencia de ALLMAND LAW FIRM, PLLC Índice de inteligencia de amenazas IBM Security X-Force de 2023 revela que el año pasado, los ataques de ransomware constituyeron casi una cuarta parte de todos los ciberataques. La popularidad del ransomware es el resultado de factores socioeconómicos globales de amplio alcance, cada uno de los cuales se combina para crear una amenaza siempre presente para su organización.

Las etapas de un ataque de ransomware

Desde ataques hipercomplejos hasta la explotación de descuidos simples, casi todos los ataques de ransomware se desarrollan en cuatro o cinco etapas cruciales. 

Etapa 1: explotar una vulnerabilidad

Ya sea una vulnerabilidad en una parte de su pila tecnológica (o un único descuido por parte de un miembro del personal), la etapa principal de cada ataque de ransomware es un vector de acceso de algún tipo. A menudo, el eslabón débil pueden ser sus propios colegas (¡o incluso usted mismo!). El phishing es una de las formas más comunes en las que se puede acceder a organizaciones que de otro modo serían seguras; es lo que permitió a los atacantes desatar un ataque de ransomware contra el periódico británico The Guardian a principios de 2023.

Otros intentos de infiltración se aprovechan de sitios web maliciosos o atacan directamente las vulnerabilidades del software. 

Etapa 2: Libera la RAT

El acceso remoto se ve más comúnmente en el contexto del soporte técnico; con esto habilitado, su equipo de TI puede ayudar a sus colegas con sus tareas informáticas diarias. El soporte remoto permite a otros usuarios asumir privilegios administrativos completos, dándoles control total sobre cada proceso en su PC. Una RAT deforma esto al instalarse en una computadora sin el conocimiento del usuario.  

Es común que los atacantes utilicen RAT como una forma de eludir las medidas de seguridad establecidas: mientras que las soluciones antivirus pueden identificar ransomware mediante una simple detección de firmas de archivos, un troyano de acceso remoto es más difícil de detectar antes de su implantación. Aprovechando archivos de apariencia legítima, como paquetes de software y videojuegos, el RAT ofrece una variedad de vías a cualquier atacante intrigante, allanando el camino hacia la siguiente etapa del ataque.

Etapa 3: Reconocimiento 

Con un punto de apoyo en el sistema de la víctima, es posible que el atacante comience a husmear. Se centra principalmente en comprender los sistemas locales, junto con el dominio al que tienen acceso actualmente. A partir de ahí, son libres de empezar a moverse lateralmente. Aquí es donde radica la mayor debilidad de la seguridad de estilo perimetral; si se depende de una sola línea de defensa, el movimiento lateral se hace mucho más fácil y el ataque final tiene un alcance más amplio. En este punto, sin embargo, el atacante está expandiendo activamente su control sobre el sistema y comprometiendo cuentas cada vez más privilegiadas mientras permanece lo más sigiloso posible. 

Etapa 4: Exfiltración

En esta etapa, el atacante ha llegado a tantas áreas de la organización como sea posible. Sin embargo, sólo ahora se toman medidas que beneficien directamente al grupo atacante. La atención se centra en identificar y extraer datos: cuanto más sensibles, mejor. El aumento de los ataques conjuntos de extorsión y ransomware se debe al contexto del panorama actual de gestión de amenazas. Las violaciones de datos conllevan fuertes multas y una ráfaga de malas relaciones públicas; Desde la perspectiva del atacante, estos datos también pueden venderse a otras áreas de la máquina del cibercrimen. A estas alturas, los atacantes se han cobrado otra víctima. Independientemente de la etapa final que sigue, es probable que puedan ganar el dinero que buscan. 

Etapa 5: cifrado

Finalmente, después de desviar sigilosamente TB de datos de la empresa (a través de credenciales de inicio de sesión, información personal de los clientes y propiedad intelectual), los ciberdelincuentes pueden asestar un golpe final. El ransomware criptográfico se abre camino a través de todos los archivos a los que puede acceder a través de las redes afectadas, cifrándolos a medida que avanza. Las formas avanzadas de algunas cepas de ransomware van incluso más allá: desactivan funciones que permitirían una última restauración del sistema y eliminan cualquier copia de seguridad de la red infectada. Sin embargo, no todos los ransomware cifran: algunos bloquean la pantalla del dispositivo o incluso inundan al usuario con un aluvión interminable de ventanas emergentes.

Finalmente, una vez que el dispositivo y sus archivos asociados son inaccesibles, se informa a la víctima de su mala suerte mediante una nota de rescate. Esto a menudo se materializa como un archivo .txt depositado en el escritorio de la computadora y contiene instrucciones sobre cómo pagar el rescate. 

¿Quién es el objetivo del ransomware?

Con cada ataque exitoso, el atacante de ransomware se vuelve más audaz y ataca a las industrias de manera que causen el mayor dolor posible. En los últimos años, un área ha sido atacada con especial crueldad: la infraestructura crítica. 

Un ataque a un proveedor de energía puede provocar una falla en la red o una producción de energía inconsistente en hogares, edificios comerciales u otros proveedores de servicios críticos. Las centrales eléctricas, las instalaciones de tratamiento de agua, los sistemas de transporte y las redes de comunicación han sido áreas de especial atención en los últimos años. Esto se debe en gran medida a fallas importantes ocultas en lo profundo de los sistemas de control industrial, que se utilizan para monitorear y controlar estos componentes críticos de la infraestructura.

Schneider Electric y Siemens son dos soluciones de control industrial que ya han ofrecido a los atacantes rutas de ataque de múltiples cadenas. Un ejemplo reciente es una falla que afecta a los medidores de potencia ION y PowerLogic de Schneider Electric. Estos proporcionan monitoreo energético a organizaciones de los sectores de fabricación, energía y agua; Etiquetado como CVE-2022-46680, este exploit recibió una puntuación CVSS severa de 8.8 sobre 10 y permite a los actores de amenazas acceder a credenciales que les ayudarían a cambiar los ajustes de configuración y modificar el firmware.

¿Por qué se están extendiendo los ataques de ransomware?

La cantidad de ataques de ransomware continúa disparándose, en parte debido a una economía global cambiante. Como el ransomware es un ataque que a menudo tiene una gran motivación financiera, los problemas socioeconómicos como la pobreza y la desigualdad de riqueza desempeñan un papel importante en su popularidad. Esto también se ha acelerado en los últimos años, en parte porque el ransomware es ahora el más accesible que jamás haya sido. Los aspirantes a ciberdelincuentes ya no necesitan un conocimiento profundo de la seguridad de la red. En cambio, ciertos desarrolladores de ransomware optan por compartir su código de malware a través de acuerdos de ransomware como servicio (RaaS). En esta configuración, el ciberdelincuente actúa como un afiliado, aprovechando el código preescrito y compartiendo una parte del pago del rescate de la víctima con el desarrollador original. Esta relación simbiótica resulta mutuamente ventajosa: los afiliados pueden aprovechar los beneficios de la extorsión sin necesidad de desarrollar su propio malware, mientras que los desarrolladores pueden mejorar sus ganancias sin tener que estar en primera línea. 

La última razón del aumento de los casos de ransomware es la tensión geopolítica. Es la fuerza impulsora detrás de campañas tan masivas contra los pesos pesados ​​de la infraestructura. La idea de un hacker respaldado por el Estado solía estar aislada para atacar a actores financiados directamente por Estados maliciosos. Ahora los tiempos han cambiado. Con la invasión rusa de Ucrania (y la creciente accesibilidad del ransomware), los actores de amenazas no afiliados se han involucrado con ferviente entusiasmo. Infraestructuras críticas como los ferrocarriles se han detenido con orgullo, como el ataque de los ciberpartisanos a los ferrocarriles bielorrusos, que fue orquestado en un intento de impedir el movimiento de los soldados rusos. 

Historia de los ataques de ransomware

Comenzando con un disquete experimental, el ransomware ha tardado mucho en evolucionar hasta convertirse en los ataques hiperagresivos que enfrentan las organizaciones hoy en día.

1989: Comienzos de la baja tecnología. El primer ransomware documentado fue el troyano SIDA. Distribuido a través de disquetes, el nacimiento del ransomware tiene raíces sorprendentemente de baja tecnología. Los directorios de archivos en la computadora de la víctima estaban ocultos, antes de que la ventana emergente del ransomware exigiera $189 para revelarlos. Sin embargo, dado que cifraba los nombres de los archivos en lugar de los archivos reales, los usuarios finalmente pudieron revertir el daño ellos mismos.

2005: Surgen nuevos estilos de cifrado. Tras un número relativamente pequeño de ataques de ransomware a principios de la década de 2000, comenzó un aumento de las infecciones, concentradas principalmente en Rusia y Europa del Este. Surgieron las primeras variaciones que utilizaban cifrado asimétrico. A medida que los nuevos ransomware ofrecían métodos más eficaces para extorsionar dinero, un número cada vez mayor de ciberdelincuentes comenzaron a difundir ransomware por todo el mundo.

2009: Los pagos imposibles de rastrear se unen a la refriega. La llegada de las criptomonedas, en particular Bitcoin, brindó a los ciberdelincuentes una vía para recibir pagos de rescate imposibles de rastrear, lo que dio lugar a la siguiente ola de actividad de ransomware.

2013: CryptoLocker demuestra su valía. La era moderna del ransomware comienza con la introducción de CryptoLocker, que marca el inicio de los scripts de ransomware basados ​​en cifrado que, una vez implementados, exigen a la víctima que realice su pago en criptomonedas.

2015: Nace RaaS. La variante de ransomware Tox es pionera en el modelo de ransomware como servicio (RaaS), que permite a otros ciberdelincuentes acceder e implementar fácilmente ransomware para sus propios fines maliciosos.

2017: WannaCry llega al NHS. La aparición de WannaCry supone el primer criptogusano autorreplicante ampliamente utilizado, que permite una rápida propagación del ransomware a través de redes y sistemas. 

2018: Ryuk apunta al Wall Street Journal y LA Times. Ryuk gana popularidad y establece el concepto de caza mayor en ataques de ransomware, dirigidos a organizaciones de alto valor para obtener mayores pagos de rescate.

2019: La doble extorsión se convierte en la norma. Los ataques dobles de ransomware comienzan a surgir. La mayoría de los incidentes de ransomware manejados por el equipo de respuesta a incidentes de seguridad de IBM ahora implican tanto el cifrado de datos como la amenaza de exponerlos si no se paga el rescate.

2023: El secuestro de hilos ahora es popular. El secuestro de hilos surge como un vector destacado del ransomware, en el que los ciberdelincuentes se insertan en conversaciones en línea de sus objetivos para facilitar la propagación del ransomware y aumentar sus posibilidades de extorsión exitosa.

Por qué no deberías simplemente pagar el rescate

En 2019, la mayoría de las víctimas de ransomware terminaron pagando a sus atacantes. Sin embargo, en el primer trimestre de 2022, esa cifra había disminuido. Esto se debe en parte a la abrumadora cantidad de razones que se acumulan en contra de realizar ese pago de rescate crucial.

Es posible que no obtenga una clave de descifrado

En promedio, en 2021, las organizaciones que pagaron el rescate recuperaron solo el 61% de sus datos. El número de organizaciones que pagaron y posteriormente recibieron todos sus datos fue de un minúsculo 4%. Una vez que los piratas informáticos hayan recibido el rescate, sus datos seguirán valiendo dinero para ellos: venderlos y filtrarlos les ofrece un retorno de la inversión aún mayor.

Es posible que reciba demandas de rescate repetidamente

Una abrumadora mayoría de las víctimas que pagan se ven afectadas por más ataques de rescate en el futuro. Un informe líder de 2022 analizó lo que sucede después de que una organización simplemente paga a sus atacantes y descubrió tasas espantosamente altas de reincidencia. De todas las víctimas que admitieron haber pagado el rescate, el 80% de ellas fueron atacadas por segunda vez; el 68% de las cuales sufrieron ataques el mismo mes con una mayor demanda de rescate. Una razón de esto es el hecho de que aquellos que deciden pagar son vistos como objetivos vulnerables. El 9% pagó por tercera vez.

Pronto podría estar infringiendo la ley

El Departamento del Tesoro de Estados Unidos ya ha publicado una advertencia sobre futuros problemas legales. Estar involucrado en pagos de ransomware, ya sea como víctima, una empresa de seguros cibernéticos o una institución financiera, podría violar las leyes relativas a la seguridad internacional. Esto se debe en gran medida al punto final que enfatiza las realidades económicas del ransomware.

Usted financia la actividad criminal

Con cada víctima que paga, los grupos de hackers pueden desarrollar métodos aún más avanzados de uso de malware para infiltrarse en empresas más vulnerables. Pagar el rescate no sólo empeora el ransomware en sí, sino que financia directamente a estados nacionales agresivos que a menudo financian este tipo de ataques públicos y disruptivos.

Por otro lado, cuantos más obstáculos enfrentan los piratas informáticos en sus actividades delictivas, disminuyen las posibilidades de que puedan seguir dañando a otras empresas. 

Los diferentes tipos de ransomware 

El ransomware suele adoptar diversas formas y, si bien el ransomware basado en cifrado es uno de los tipos más comunes, cifrar datos confidenciales no es la única forma en que los datos de las organizaciones pueden quedar a punta de cuchillo. 

Scareware

El scareware es el primo de baja tecnología del ransomware. A menudo, estos verán una carga útil maliciosa que inicia un mensaje que dice ser de las autoridades o incluso de una infección de virus legítima. Puede indicar al usuario un software antivirus falso, lo que hace que las víctimas paguen por el privilegio de descargar su propio ransomware. 

bloqueadores de pantalla

Esta forma de ransomware bloquea el acceso del usuario no mediante cifrado, sino simplemente impidiendo que el usuario interactúe con cualquiera de sus archivos en primer lugar. El bloqueo de todo el dispositivo de la víctima generalmente se logra bloqueando el acceso al sistema operativo. En lugar de iniciarse como de costumbre, el dispositivo simplemente muestra la demanda de rescate.

Limpiaparabrisas

Si bien el ransomware basado en cifrado a menudo incita a las víctimas a pagar con la promesa de que todo volverá a la normalidad, los limpiadores adoptan un enfoque más agresivo. La nota de rescate amenazará con destruir todos los datos si no se paga. Incluso en los casos en los que las víctimas se hacen a un lado, los datos a menudo se eliminan de todos modos. El enorme potencial destructivo de los limpiaparabrisas los convierte en una herramienta particularmente bien utilizada por los actores de los estados-nación y los hacktivistas. 

Variantes populares de ransomware

En el ámbito turbio y en constante evolución del ransomware, las variantes pueden aparecer en un momento y desaparecer al siguiente. En la última década han entrado en escena cuatro actores importantes, cada uno de los cuales ha desempeñado un papel singular a la hora de impulsar la industria ilícita hacia nuevos terrenos.

WannaCry

WannaCry fue el primer ejemplo destacado de criptogusano, el tipo de ransomware que puede propagarse a otros dispositivos dentro de una red. Apuntó a más de 200,000 computadoras en 150 países, explotando la vulnerabilidad EternalBlue en Microsoft Windows que los administradores no habían parcheado. Además de cifrar datos valiosos, el ransomware WannaCry también representaba una amenaza de borrar archivos si no se recibía el pago dentro de un período de siete días.

El ataque WannaCry es uno de los incidentes de ransomware más grandes registrados hasta la fecha, con costos estimados. alcanzando hasta 4 mil millones de dólares. Su impacto a gran escala y su rápida propagación resaltaron las importantes consecuencias que pueden tener las vulnerabilidades sin parches y la negligencia de los administradores de sistemas frente a tales amenazas cibernéticas.

Malvado

REvil, también conocido como Sodin o Sodinokibi, jugó un papel importante en la popularización del modelo Ransomware-as-a-Service (RaaS) para distribuir ransomware. Este enfoque permite que otros ciberdelincuentes accedan y utilicen el ransomware REvil para sus propias actividades maliciosas. REvil ganó notoriedad por su participación en ataques de caza mayor y tácticas de doble extorsión.

En 2021, REvil fue responsable de ataques notables contra JBS USA y Kaseya Limited. JBS, una importante empresa procesadora de carne vacuna en Estados Unidos, sufrió una interrupción que llevó al pago de un rescate de 11 millones de dólares. El ataque afectó las operaciones de procesamiento de carne vacuna de JBS en todo Estados Unidos. Kaseya Limited, un proveedor de software, vio afectados a más de mil clientes gracias al importante tiempo de inactividad provocado por el ataque.

A principios de 2022, el Servicio Federal de Seguridad de Rusia declaró que había desmantelado REvil y había comenzado a acusar a varios de sus miembros por sus crímenes pasados.

Ryuk

Observado por primera vez en 2018, el ransomware Ryuk encabezó los ataques de “ransomware de grandes juegos” que se dirigen específicamente a entidades de alto valor; sus demandas de rescate superaban regularmente el millón de dólares. Ryuk está equipado para apuntar a organizaciones tan exitosas gracias a su agresiva capacidad para identificar y deshabilitar archivos de respaldo y funcionalidades de restauración del sistema. En 2021, se identificó una nueva cepa de Ryuk con capacidad de criptogusano, lo que mejoró aún más su capacidad de infección rápida y extensa.

Darkside

DarkSide es una variante de ransomware que se cree que es operada por un grupo que se sospecha tiene su sede en Rusia. El 7 de mayo de 2021, DarkSide llevó a cabo un importante ciberataque al Colonial Pipeline de EE. UU., que se considera el ciberataque más grave a infraestructuras críticas en Estados Unidos hasta el momento. Como consecuencia del ataque, el oleoducto, responsable de suministrar aproximadamente el 45 por ciento del combustible a la costa este de Estados Unidos, fue cerrado temporalmente. 

El grupo DarkSide no sólo lleva a cabo ataques directos de ransomware, sino que también otorga licencias de su ransomware a otros afiliados de ciberdelincuentes, lo que permite al grupo ampliar su alcance y sus ganancias.

Cómo protegerse contra el ransomware

Es fundamental investigar a fondo el origen de un ataque de ransomware y tomar las medidas adecuadas para solucionar el problema. Si el ataque se originó cuando un empleado hizo clic en un enlace riesgoso, es importante mejorar la capacitación de los empleados en identificar ataques de phishing y enfatizar la importancia de mantener contraseñas seguras y únicas, como frases de contraseña. La implementación de un software de autenticación de dos factores para todos los dispositivos y empleados puede proporcionar una capa adicional de protección.

Actualizar periódicamente el software y el hardware es esencial para mitigar posibles vulnerabilidades. Es necesario fortalecer su infraestructura de ciberseguridad para mantenerse al día con las tácticas en constante evolución empleadas por los atacantes. Configurar periódicamente su red puede ayudar a interceptar el tráfico malicioso y hacer que sea más difícil para los delincuentes atacar su organización.

Identificar cualquier brecha de seguridad y abordarla rápidamente es vital. Cada incidente de seguridad debe verse como una oportunidad para obtener información sobre las vulnerabilidades de la infraestructura y mejorar la postura general de seguridad. La seguridad es un proceso continuo que requiere pruebas y mejoras constantes para adelantarse a posibles amenazas.

Cómo protege LayerX del ransomware

A medida que las tácticas de ransomware se han ido fortaleciendo, las vulnerabilidades que allanaron el camino para los atacantes han cambiado. Al mismo tiempo, el navegador se ha convertido en un componente central del espacio de trabajo moderno, al igual que las aplicaciones que abarcan desde aplicaciones administradas hasta aplicaciones totalmente no autorizadas. Entre el entorno seguro de un terminal protegido y la World Wide Web se encuentra la intersección única de estas aplicaciones y el punto débil de muchas organizaciones. 

LayerX protege los activos que están fuera del control del equipo de seguridad de la empresa mediante la introducción de una granularidad profunda. Esto destaca cualquier actividad que pueda presentar el riesgo de ransomware o descarga de RAT. Un enfoque en la protección sobre el terreno permite que LayerX se implemente con una extensión de navegador de instalación rápida en el nivel del perfil de usuario. La visibilidad centrada en el usuario se combina con un análisis líder en la industria a la vanguardia de la nube de inteligencia sobre amenazas de LayerX. Tras la identificación proactiva de elementos de alto riesgo, los elementos ejecutores de LayerX actúan con decisión, neutralizando cualquier amenaza de cifrado generalizado sin la amenaza de interrupción del usuario. Con LayerX, las organizaciones pueden implementar protección completa en cualquier lugar donde los usuarios accedan a la web.