¿Qué son los ataques de ransomware?

El ransomware está en aumento

Los ataques de ransomware han evolucionado rápidamente en los últimos años, volviéndose más frecuentes, evasivos y costosos. Los nuevos modelos de ransomware como servicio (RaaS) ofrecen vías ya preparadas para obtener beneficios a los futuros actores de amenazas, incluso sin experiencia.

Al mismo tiempo, los atacantes están dando nuevos giros a viejas técnicas. Algunos utilizan la doble extorsión, multiplicando la presión sobre sus víctimas al combinar el cifrado y el robo de datos. Otros han sido pioneros en ataques "sin cifrado", centrándose por completo en la amenaza de una fuga.

A medida que surgen nuevas técnicas, los métodos tradicionales de recuperación y descifrado de archivos son cada vez menos viables. En este panorama de amenazas, es más importante que nunca centrarse en la prevención.

¿Cómo funcionan los ataques de ransomware?

Una secuencia típica de ataque de ransomware se ve así:

Riesgo inicial

Muchos ataques de ransomware comienzan con correos electrónicos de phishing. Pueden parecer de minoristas, bancos u otras entidades que se comunican para informar retrasos en las entregas, transacciones fraudulentas, etc. Estos correos electrónicos incluyen archivos infectados o enlaces que, al abrirse, introducen malware en el dispositivo de la víctima para preparar un ataque.

Movimiento lateral

Una vez que el malware infecta un dispositivo, el ataque se propaga. Si el dispositivo infectado está en una red, el malware intentará comprometer un controlador de dominio o robar credenciales que le permitan moverse por la red e infectar otros dispositivos.

Ejecución

El malware se ejecutará una vez que tenga suficiente acceso, exfiltrando y/o robando los datos de la víctima. Por último, la víctima recibe una petición de rescate, normalmente con un límite de tiempo antes de que los datos se vendan, se filtren o se pierdan. Si la víctima paga, los atacantes que utilizan estrategias de cifrado suelen prometer que proporcionarán una clave de descifrado que desbloquee los datos. Sin embargo, no siempre proporcionan la clave de descifrado, y cuando lo hacen, no siempre funciona.

¿Cómo han evolucionado los ataques de ransomware?

El ampliamente citado primer ataque de ransomware se produjo en 1989. Tras una conferencia de la Organización Mundial de la Salud sobre el sida, los asistentes recibieron disquetes de "Información sobre el SIDA" cargados con un virus troyano. El troyano cifraba los archivos de un sistema infectado y, a continuación, pedía a la víctima que enviara por correo un pago de 189 dólares a una dirección en Panamá para restablecer el acceso.

A principios de la década de 1990 apareció el “scareware”, llamado así por su uso de ingeniería social basada en el miedo. Las computadoras infectadas mostrarían un mensaje de error con un enlace para comprar y descargar software para solucionar el problema. (El software, por supuesto, generalmente era malware, a menudo diseñado para robar datos). El scareware persiste hoy en día en muchas formas, como el malspam y las ventanas emergentes del navegador.

El auge del intercambio de archivos popularizó una categoría de ransomware llamada bloqueadores de pantalla. En lugar de cifrar los archivos, éstos bloqueaban el sistema del usuario y exigían un rescate o una “multa" (citando con frecuencia a la policía, el FBI, etc.). En realidad, muchos bloqueos simplemente restringían el movimiento del ratón, y un reinicio del sistema podía restablecer las funciones normales. Sin embargo, el miedo llevó a muchas víctimas a pagar.

El vínculo entre el ransomware y la criptomoneda

Al principio, las demandas de rescate solían alcanzar unos pocos cientos de dólares por parte de usuarios individuales. Además, los pagos de rescate generalmente se realizaban con tarjetas de pago comunes, lo que hacía mucho más fácil rastrear las transacciones y detectar a los actores de amenazas.

Hoy en día, las innovaciones en materia de ciberdelincuencia y tecnología criptográfica han ayudado a que el ransomware gane popularidad. En particular, la criptodivisa (moneda digital basada en el anonimato y el cifrado) ha permitido a los malintencionados cubrir sus huellas al hacer que las transacciones sean prácticamente imposibles de rastrear.

Ransomware como servicio (RaaS)

Como subproducto de esa popularidad y éxito, las herramientas RaaS suelen estar basadas en suscripciones y son asequibles, al igual que las ofertas SaaS legales. Muchos están fácilmente disponibles en la web oscura, y permiten incluso a personas sin conocimientos de programación lanzar un ciberataque y obtener parte de sus beneficios. Algunos proveedores de RaaS ofrecen incluso soporte técnico y programas pagos de recompensas por vulnerabilidades.

Ransomware de doble extorsión

Con el tiempo, una mejor tecnología de copia de seguridad y descifrado de datos comenzó a mover la balanza a favor de las víctimas. Como respuesta, en 2019, un grupo criminal llamado TA2102 perpetró el primer ataque de ransomware de doble extorsión de alto perfil, cifrando y exfiltrando los datos de la víctima antes de amenazar con filtrarlos a menos que se les pagara $2.3 millones en bitcoin. De esta manera, incluso si la víctima hubiera logrado restaurar sus datos, seguiría sufriendo una violación de datos grave a menos que pagara.

Ransomware sin cifrado

En 2022 y 2023, surgió una tendencia insidiosa que rediseñó el funcionamiento básico del ransomware. Siendo tanto una evolución como una especie de regresión, los ataques de ransomware sin cifrado no cifran los archivos de las víctimas. En cambio, los atacantes se centraron únicamente en extraer datos confidenciales como palanca para la extorsión.

Las víctimas de estos ataques suelen pertenecer a sectores que manejan información de identificación personal muy confidencial, como el jurídico y el sanitario. Debido a que su principal interés es evitar la fuga de sus datos confidenciales, muchos pagarán el rescate independientemente del cifrado. Además, las víctimas pueden recuperar los datos sin cifrar con mayor rapidez y facilidad, lo que a menudo se traduce en un pago más rápido del rescate.

Tipos/ejemplos de ataques de ransomware

Entre los innumerables tipos de ransomware y grupos de ransomware, algunos de los más comunes y conocidos son:

• CryptoLocker: Caracterizado por su fuerte cifrado y su masiva red de bots, este ransomware tuvo tanto éxito en 2013 y 2014 que sigue inspirando ataques de imitación.
• WannaCry: Un criptogusano dirigido al sistema operativo Windows, ha afectado a más de 300,000 sistemas (y contando) en todo el mundo desde su lanzamiento en 2017. Debido a su escala y alcance global, sigue siendo uno de los mayores ataques de ransomware de la historia.
• NoPetya: NotPetya apareció poco después de WannaCry, pero inicialmente pareció ser una nueva serie del ransomware Petya de 2016. Sin embargo, no había manera de recuperar los datos cifrados. El ataque fue en realidad un virulento “destructionware” atribuido al grupo de hackers ruso Sandworm.
• Ryuk: Este ransomware se ha vinculado a una serie de grupos que han impactado industrias como la atención médica, el sector público y la educación, particularmente los sistemas escolares de EE. UU.
• REvil: conocido por infracciones en los sectores legal, de entretenimiento y público, REvil lanzó una avalancha de ataques entre mayo de 2020 y octubre de 2021, incluido el ataque Kaseya VSA.
• DarkSide: Esta variante de ransomware es responsable del ataque de 2021 a Colonial Pipeline, uno de los ataques de doble extorsión más famosos. DarkSide es una variante común "como servicio", en la que los licenciatarios comparten sus ganancias.
• GandCrab: El informe Ransomware in a Global Context 2021 de VirusTotal citó a GandCrab como el ataque de ransomware más frecuente de ese año, representando el 78.5 % de las muestras tomadas para el informe.
• LockBit: A finales de 2022 se filtró una herramienta de construcción para este sofisticado ransomware. Al estar en manos de un sinfín de nuevos atacantes, fue la variante más prolífica de 2023, con más de 800 víctimas conocidas de fuga de datos.

¿Cómo se puede distribuir el ransomware?

Los atacantes siempre están ideando nuevas maneras de distribuir ransomware, pero hay varias que destacan como las más populares y eficaces. Los principales vectores de ataque de ransomware son:

• Phishing: Correos electrónicos engañosos o mensajes similares, generalmente cargados de enlaces o archivos adjuntos infectados, engañan a los usuarios para que permitan que el ransomware ingrese a su sistema.
• Descargas no autorizadas: Los atacantes aprovechan las vulnerabilidades del software, el sistema operativo o el navegador para permitir descargas sigilosas de ransomware cuando la víctima interactúa con sitios web o enlaces comprometidos.
• Vulnerabilidades de software: Los atacantes aprovechan las debilidades de las aplicaciones o sistemas, dándoles puntos de entrada a una red, donde pueden implementar ransomware directamente.
• Sitios web maliciosos: Los atacantes crean sitios fraudulentos que alojan ransomware y luego convencen a los visitantes de descargarlo bajo falsas promesas.
• Ataques "watering hole": Los atacantes infectan sitios web legítimos utilizados por sus víctimas previstas y luego utilizan la ingeniería social para engañar a los visitantes para que descarguen ransomware.
• Ataques de protocolo de escritorio remoto (RDP): Los hackers obtienen acceso ilícito a conexiones RDP, generalmente descifrando o robando credenciales de inicio de sesión, para implementar ransomware directamente en una red de destino.
• Publicidad maliciosa (malvertising): Los atacantes colocan anuncios infectados en sitios web legítimos, que infectan los sistemas con ransomware cuando las víctimas interactúan con el anuncio.

¿Debería pagar el rescate?

Para muchas víctimas de ransomware, la pregunta más difícil es: "¿Pagar o no pagar?"

Muchas organizaciones están dispuestas a pagar para proteger sus datos, pero ¿es esa la decisión correcta? Múltiples informes desde 2021 han encontrado que alrededor del 80 % de las organizaciones que lo hacen continúan sufriendo ataques repetidos. Más allá de eso, como dijo el CISO Brad Moldenhauer,"... pagar rescates digitales podría ayudar e instigar al terrorismo y ciertamente así ocurre con la ciberdelincuencia".

Considere también estos otros ángulos:

• Recuperar sus datos no es una garantía, suponiendo que esa fuera la intención del atacante desde el principio (lea sobre NotPetya).
• En algunas circunstancias y jurisdicciones, pagar un rescate es ilegal. Leer más.
• En el caso de la doble extorsión, aunque recupere sus datos, los atacantes siguen teniendo copias y pueden exponerlos si no paga.

La elección a menudo depende de sus circunstancias únicas. Tendrá que considerar cómo afectará a sus operaciones, usuarios y clientes una violación y la posible pérdida de datos.

¿Cuáles son los efectos del ransomware en las empresas?

El ransomware afecta a organizaciones de todo tipo en todo el mundo, con más ataques cada año. Puede tener efectos negativos sobre los ingresos, la opinión pública y más.

Pérdida de capital y datos

Elegir entre perder datos y perder dinero es un dilema peligroso, especialmente en industrias que procesan datos confidenciales. Si ignora las demandas de rescate, corre el riesgo de sufrir una fuga de datos. Sin embargo, aunque pague, no hay garantía de que recupere sus datos.

Daño reputacional

Tanto si paga como si no, está obligado a denunciar el delito, lo que puede dar lugar a una cobertura mediática. Cuando eso ocurre, su organización puede perder negocio, la confianza de los clientes, o ambas cosas, incluso si se puede decir que usted no tiene la culpa.

Repercusiones legales

En un número cada vez mayor de estados de los EE. UU., pagar un rescate es ilegal en la mayoría de los casos. Otras jurisdicciones de todo el mundo también están considerando estatutos similares. Además, una violación puede dar lugar a un escrutinio regulatorio adicional, lo que puede resultar en multas y otros costos legales.

Cómo eliminar el ransomware

Si sospecha que hay una infección de ransomware, primero debe tomar de inmediato algunas medidas clave para evitar que se propague. Luego, en algunos casos, puedes eliminar la infección de ransomware. Siga estos pasos:

Paso 1: Aislar los dispositivos infectados. Desconéctelos de cualquier conexión por cable o inalámbrica (incluso desconéctelos de la corriente alterna, si es necesario) para evitar que la infección se propague. Si descubre el ransomware antes de que se ejecute, es posible que pueda eliminarlo antes de que el atacante pueda exigir el rescate.

Paso 2: Determinar a qué se enfrenta. Consulte a su equipo de TI o de seguridad para que le ayuden a identificar la infección y a conocer los pasos a seguir. Puede encontrar herramientas de descifrado para algunas variantes, pero es importante no depender de ellas. Los descifradores suelen ser ineficaces contra el ransomware sofisticado y no ayudarán mucho en el caso de una doble extorsión.

Paso 3: Recupere sus datos perdidos. Normalmente, lo hará restaurándolos desde una copia de seguridad. Mantener copias de seguridad periódicas es la única manera de garantizar que pueda recuperar todos sus datos. Si no puede recuperar sus datos, considere cuidadosamente las posibles consecuencias legales y financieras antes de pagar un rescate.

Paso 4: Eliminar el ransomware Aquí generalmente necesitará la ayuda de un profesional de seguridad. En algunos casos, también querrá consultar a las fuerzas del orden, como el FBI. Su servicio de asistencia debe investigar la causa raíz de la infección para determinar la vulnerabilidad que permitió el ataque.

Paso 5: Evaluar y abordar la causa raíz. Refuerce sus defensas dondequiera que hayan fallado, ya sea una vulnerabilidad de puerta trasera, una falla en el filtrado de correo electrónico, capacitación insuficiente de los usuarios o cualquier otra cosa. Los ataques repetidos pueden suceder y ocurren, y usted puede estar mejor preparado.

La prevención del ransomware es clave

La realidad es que una vez que los atacantes cifran o exfiltran sus datos, de un modo u otro, usted pierde. Por eso, prevenir las infecciones de ransomware en primer lugar es la verdadera clave para defenderse de ellas.

Detener cada ataque que se cruza en su camino es probablemente imposible, pero con la debida diligencia, capacitación en concienciación de seguridad y la tecnología adecuada, puede minimizar su riesgo. Necesita una estrategia antiransomware eficaz, que incluya principios y herramientas que:

• Poner en cuarentena e inspeccionar el contenido sospechoso con un sandbox basado en IA.
• Inspeccionen todo el tráfico cifrado TLS/SSL
• Implementar una protección siempre activa siguiendo las conexiones fuera de la red.

Combinar soluciones modernas con un enfoque defensivo proactivo es el modelo de protección contra el ransomware más eficaz en el manual de la ciberseguridad actual.

Cómo puede ayudar Zscaler

Zscaler ofrece protección contra ransomware nativa de la nube para defender sus datos durante todo el ciclo de vida del ataque. Nuestra arquitectura Zero Trust en la nube y probada a nivel mundial, le permite:

Eliminar la superficie de ataque
Haga que todos los puntos de entrada sean invisibles para los atacantes. La arquitectura Zero Trust nunca expone a los usuarios, las redes o las aplicaciones a Internet.

Prevenir el compromiso inicial
Inspeccione el 100 % de las conexiones entrantes y salientes. Las amenazas se bloquean antes de que puedan causar daños.

Detener el movimiento lateral
Conexiones directas 1:1 entre usuarios, cargas de trabajo y aplicaciones. La red se mantiene invisible para los atacantes.

Bloquear la exfiltración de datos
Inspeccione todo el tráfico en tiempo real y a escala de la nube. Los datos confidenciales nunca abandonan la red en una conexión no confiable.