¿Qué son los ataques de ransomware?

El ransomware está en aumento

Los ataques de ransomware han evolucionado rápidamente en los últimos años, volviéndose más frecuentes, evasivos y costosos. Los nuevos modelos de ransomware como servicio (RaaS) ofrecen rutas preparadas para obtener ganancias para los autores de amenazas potenciales, incluso sin experiencia.

Al mismo tiempo, los atacantes están dando nuevos giros a viejas técnicas. Algunos recurren a la doble extorsión, multiplicando la presión sobre sus víctimas combinando el cifrado y el robo de datos. Otros han sido pioneros en ataques "sin cifrado", centrándose exclusivamente en la amenaza de una filtración.

A medida que surgen nuevas técnicas, los métodos tradicionales de recuperación y descifrado de archivos se vuelven menos viables. En este panorama de amenazas, es más importante que nunca centrarse en la prevención.

¿Cómo funcionan los ataques de ransomware?

Una secuencia típica de ataque de ransomware tiene este aspecto:

Compromiso inicial

Muchos ataques de ransomware comienzan con correos electrónicos de phishing. Estos pueden parecer provenir de minoristas, bancos u otras entidades con respecto a retrasos en la entrega, transacciones fraudulentas, etc. Dichos correos electrónicos incluyen archivos o enlaces infectados que, cuando se abren, colocan software malicioso en el ordenador o dispositivo móvil de la víctima para preparar un ataque.

Movimiento lateral

Una vez que el malware infecta un dispositivo, el ataque se propaga. Si el dispositivo infectado está en una red, el malware intentará comprometer un controlador de dominio o robar credenciales que le permitan moverse lateralmente por la red e infectar otros dispositivos.

Ejecución

El malware se ejecutará una vez que tenga suficiente acceso, exfiltrándose y/o robando los datos de la víctima. Finalmente, la víctima recibirá una demanda de rescate, generalmente con un límite de tiempo antes de que los datos se vendan, se filtren o sean irrecuperables. Si la víctima paga, los atacantes que utilizan estrategias de cifrado generalmente prometen proporcionar una clave de descifrado que desbloquea los datos. Sin embargo, no siempre proporcionan la clave de descifrado, y cuando lo hacen, no siempre funciona.

¿Cómo han evolucionado los ataques de ransomware?

El primer ataque de ransomware, ampliamente citado, ocurrió en 1989. Tras una conferencia de la Organización Mundial de la Salud sobre el SIDA, los asistentes recibieron disquetes con “Información sobre el SIDA” cargados con un virus troyano. El troyano cifraba los archivos en un sistema infectado y luego pedía a la víctima que enviara un pago de 189 dólares estadounidenses a una dirección en Panamá para restablecer el acceso.

A principios de la década de 1990 apareció el “scareware”, llamado así por su uso de ingeniería social basada en el miedo. Los ordenadores infectados mostrarían un mensaje de error con un enlace para comprar y descargar software para solucionar el problema. (El software, por supuesto, generalmente era malware, a menudo diseñado para robar datos). El scareware persiste hoy en día en muchas formas, como el spam malicioso y las ventanas emergentes del navegador.

El auge del intercambio de archivos popularizó una categoría de ransomware llamada bloqueadores de pantalla. En lugar de cifrar los archivos, estos bloqueaban el sistema del usuario y exigían un rescate o una "multa" (con frecuencia citando a la policía, al FBI, etc.). En realidad, muchos bloqueadores simplemente restringen el movimiento del ratón y un reinicio del sistema podría restaurar las funciones normales. Sin embargo, el miedo llevó a muchas víctimas a pagar.

El vínculo entre el ransomware y la criptomoneda

Al principio, las demandas de rescate solían alcanzar unos pocos cientos de dólares a usuarios individuales. Además, los pagos de rescate generalmente se realizaban con tarjetas de pago comunes, lo que hacía mucho más fácil rastrear las transacciones y detectar a los autores de amenazas.

Hoy en día, las innovaciones en materia de ciberdelincuencia y tecnología criptográfica han ayudado al ransomware a ganar en popularidad. En particular, la criptomoneda (moneda digital basada en el anonimato y el cifrado) ha permitido a los ciberdelincuentes cubrir sus huellas al hacer que las transacciones sean casi imposibles de detectar.

Ransomware como servicio (RaaS)

Como consecuencia de esa mayor popularidad y éxito, las herramientas RaaS son a menudo económicas y por suscripción, al igual que las ofertas legales de SaaS. Muchas están disponibles y listas para su uso en la web oscura y permiten que incluso personas sin conocimientos de programación lancen un ciberataque y obtengan una parte de sus ganancias. Algunos proveedores de RaaS incluso ofrecen soporte técnico y programas de pagos de recompensas por errores.

Ransomware de doble extorsión

Con el tiempo, una mejor tecnología de copia de seguridad y descifrado de datos comenzó a inclinar la balanza a favor de las víctimas. En respuesta, en 2019, un grupo criminal llamado TA2102 perpetró el primer ataque de ransomware de doble extorsión de alto perfil, cifrando y exfiltrando los datos de la víctima antes de amenazar con hacerlos públicos a menos que se les pagara 2,3 millones de dólares estadounidenses en bitcoins. De esta manera, incluso si la víctima hubiera logrado restaurar sus datos, seguiría sufriendo una infracción de datos grave a menos que pagara.

Ransomware sin cifrado

En 2022 y 2023, surgió una maliciosa tendencia que redefinió la esencia misma del ransomware. En lo que supone tanto una evolución como una especie de regresión, los ataques de ransomware sin cifrado no codifican los archivos de las víctimas. Por el contrario, los atacantes se centraron únicamente en extraer datos confidenciales como moneda de cambio para la extorsión.

Las víctimas de estos ataques tienden a pertenecer a sectores que manejan PII altamente confidenciales, como los sectores legal y sanitario. Puesto que su principal preocupación es evitar la filtración de sus datos confidenciales, muchos pagarán el rescate independientemente del cifrado. Además, las víctimas pueden recuperar datos no cifrados con mayor rapidez y facilidad, lo que a menudo se traduce en pagos de rescate más rápidos.

Tipos/ejemplos de ataques de ransomware

Entre los innumerables tipos de ransomware y grupos de ransomware, algunos de los más comunes y conocidos son:

• CryptoLocker: este ransomware, caracterizado por su fuerte cifrado y su enorme botnet, tuvo tanto éxito en 2013 y 2014 que sigue inspirando ataques que lo imitan.
• Wannacry: un ransomware de tipo criptogusano que tiene como objetivo el sistema operativo Windows y ha afectado a más de 300 000 sistemas (cifra esta que va en aumento) en todo el mundo desde su lanzamiento en 2017. Debido a su escala y alcance global, sigue siendo uno de los mayores ataques de ransomware de la historia.
• NoPetya: NotPetya apareció poco después de WannaCry, pero inicialmente pareció ser una nueva ronda del ransomware Petya de 2016. Sin embargo, no había forma de recuperar los datos cifrados. El ataque fue en realidad un virulento “destructionware” atribuido al grupo de hackers ruso Sandworm.
• Ryuk: esta cepa de ransomware se ha vinculado a una serie de grupos que han afectado a sectores como la atención sanitaria, el sector público y la educación, particularmente los sistemas escolares de EE. UU.
• REvil: conocido por infracciones en los sectores legal, de entretenimiento y público, REvil lanzó una avalancha de ataques entre mayo de 2020 y octubre de 2021, incluido el ataque Kaseya VSA.
• DarkSide: esta variante, responsable del ataque a Colonial Pipeline de 2021, es uno de los ejemplos más famosos de ransomware de doble extorsión. DarkSide es una variante común "como servicio", en la que los licenciatarios comparten sus ganancias.
• GandCrab: el informe Ransomware in a Global Context 2021 de VirusTotal determinó que GandGrab fue el ataque de ransomware más frecuente, con el 78,5 % de las muestras tomadas para el informe.
• LockBit: una herramienta de creación de este sofisticado ransomware se filtró a finales de 2022. En manos de innumerables atacantes nuevos, fue la variante más prolífica de 2023, con más de 800 víctimas conocidas de filtraciones de datos.

¿Cómo se puede distribuir el ransomware?

Los atacantes siempre están ideando nuevas formas de distribuir ransomware, pero varias destacan como las más populares y efectivas. Los principales vectores de ataque de ransomware son:

• Phishing: correos electrónicos engañosos o mensajes similares, generalmente cargados de enlaces o archivos adjuntos infectados, engañan a los usuarios para que permitan el acceso del ransomware a su sistema.
• Descargas no autorizadas: los atacantes aprovechan las vulnerabilidades del software, el sistema operativo o el navegador para permitir descargas imperceptibles de ransomware mientras la víctima interactúa con sitios web o enlaces comprometidos.
• Vulnerabilidades de software: los atacantes aprovechan las debilidades de las aplicaciones o sistemas, que les proporcionan puntos de entrada a una red, donde pueden implementar ransomware directamente.
• Sitios web maliciosos: los atacantes crean sitios fraudulentos que alojan ransomware y luego convencen a los visitantes de descargarlo bajo falsas promesas.
• Ataques de abrevadero: los atacantes comprometen sitios web legítimos utilizados por sus víctimas objetivo y posteriormente utilizan la ingeniería social para engañar a los visitantes para que descarguen ransomware.
• Ataques de protocolo de escritorio remoto (RDP): los piratas informáticos obtienen acceso ilícito a conexiones RDP, generalmente descifrando o robando credenciales de inicio de sesión, para implementar ransomware directamente en una red objetivo.
• Publicidad maliciosa: los atacantes colocan anuncios infectados en sitios web legítimos, que infectan los sistemas con ransomware cuando las víctimas interactúan con el anuncio.

¿Debería pagar el rescate?

Para muchas víctimas de ransomware, la pregunta más difícil es: "¿Pagar o no pagar?"

Muchas organizaciones están dispuestas a pagar para proteger sus datos, pero ¿es esa la decisión correcta? Múltiples informes desde 2021 han determinado que alrededor del 80 % de las organizaciones que lo hacen vuelven a sufrir ataques. Más allá de eso, tal y como expresó el CISO Brad Moldenhauer, “... pagar rescates digitales podría ayudar e incitar al terrorismo y ciertamente lo hace con los delitos cibernéticos”.

Tenga en cuenta también estos otros ángulos:

• Recuperar sus datos no es una garantía, suponiendo que esa fuera la intención del atacante desde el principio (lea sobre NotPetya).
• En algunas circunstancias y jurisdicciones, pagar un rescate es ilegal. Más información.
• En el caso de doble extorsión, incluso si recupera sus datos, los atacantes aún tienen copias y pueden exponerlos si no paga.

La elección a menudo depende de sus circunstancias únicas. Deberá considerar cómo una infracción y una posible pérdida de datos afectarán sus operaciones, usuarios y clientes.

¿Cuáles son los efectos del ransomware en las empresas?

El ransomware afecta a organizaciones de todo tipo en todo el mundo, con más ataques cada año. Puede tener efectos negativos sobre los ingresos, la opinión pública, etc.

Pérdida de capital y/o datos

La decisión entre perder datos y perder dinero es un dilema peligroso, especialmente en sectores que manejan datos confidenciales. Si ignora las demandas de rescate, corre el riesgo de sufrir una filtración de datos. E incluso si paga, no hay garantía de que recupere sus datos.

Daño a la reputación

Pague o no, está obligado a denunciar el delito, lo que puede generar cobertura en los medios de comunicación. Cuando eso sucede, su organización puede perder oportunidades empresariales, la confianza de los clientes, o ambos, incluso si usted no es el culpable.

Repercusiones legales

En un número cada vez mayor de estados de EE. UU., pagar un rescate es ilegal en la mayoría de los casos. Otras jurisdicciones en todo el mundo también están planteándose estatutos similares. Además, una infracción puede dar lugar a un escrutinio regulatorio adicional, lo que puede generar multas y otros costes legales.

Cómo eliminar ransomware

Si sospecha que hay una infección de ransomware, primero debe tomar de inmediato algunas medidas clave para evitar que se propague. Luego, en algunos casos, puede eliminar la infección de ransomware. Empiece con:

Paso 1: Aislar los dispositivos infectados. Desconéctelos de cualquier conexión cableada o inalámbrica (incluso desconéctelos de la alimentación de CA, si es necesario) para ayudar a evitar la propagación de la infección. Si descubre el ransomware antes de que se ejecute, es posible que pueda eliminarlo del sistema antes de que el atacante pueda exigir un rescate.

Paso 2: Determinar a qué se enfrenta. Consulte a su equipo de TI o seguridad para obtener ayuda para identificar la infección y comprender los próximos pasos. Puede encontrar herramientas de descifrado para algunas variantes, pero es importante no depender de ellas. Los descifradores suelen ser ineficaces contra el ransomware sofisticado y no ayudarán mucho en el caso de una doble extorsión.

Paso 3: Recuperar sus datos perdidos. Generalmente, esto se puede hacer restaurándolo desde una copia de seguridad. Mantener copias de seguridad periódicas es la única forma de garantizar que pueda recuperar todos sus datos una vez que estén cifrados. Si no puede recuperar sus datos, considere cuidadosamente las posibles consecuencias legales y financieras antes de pagar un rescate.

Paso 4: Eliminar el ransomware Aquí generalmente necesitará la ayuda de un profesional de seguridad. En algunos casos, también querrá consultar a las autoridades policiales, como el FBI. Su apoyo debe investigar la causa raíz de la infección para determinar la vulnerabilidad que permitió el ataque.

Paso 5: Evaluar y abordar la causa raíz. Refuerce sus defensas dondequiera que hayan fallado, ya sea en una vulnerabilidad de puerta trasera, un fallo en el filtrado de correo electrónico, la falta de capacitación del usuario, etc. Los ataques repetidos pueden suceder y suceden, y usted puede estar mejor preparado.

La prevención del ransomware es clave

La realidad es que una vez que sus datos se cifran o se exfiltran, de una forma u otra, los pierde. Por eso, prevenir las infecciones de ransomware en primer lugar es la verdadera clave para defenderse de ellas.

Probablemente sea imposible detener todos y cada unos de los ataques de ransomware que se le presenten, pero con la debida diligencia, la formación en materia de concienciación sobre ciberseguridad y la tecnología adecuada, puede minimizar el riesgo. Necesita una estrategia antiransomware eficaz, que incluya principios y herramientas que:

• Poner en cuarentena e inspeccionar el contenido sospechoso con un sandbox basado en IA
• Inspeccionen todo el tráfico cifrado TLS/SSL
• Implementar una protección siempre activa siguiendo las conexiones fuera de la red

Combinar soluciones modernas con un enfoque defensivo proactivo es el modelo de protección contra ransomware más eficaz en el marco de la ciberseguridad actual.

Cómo puede ayudar Zscaler

Zscaler ofrece protección frente a ransomware nativa de la nube para defender sus datos durante todo el ciclo de vida del ataque. Nuestra arquitectura zero trust, entregada en la nube y probada a nivel mundial, le permite:

Eliminar la superficie de ataque
Haga que todos los puntos de entrada sean invisibles para los atacantes. La arquitectura zero trust nunca expone a usuarios, redes ni aplicaciones a Internet.

Prevenir el compromiso inicial
Inspeccione el 100 % de las conexiones entrantes y salientes. Las amenazas se bloquean antes de que puedan causar daños.

Detener el movimiento lateral
Establezca conexiones directas, 1:1 entre usuarios, cargas de trabajo y aplicaciones. La red permanece invisible para los atacantes.

Bloquear la exfiltración de datos
Inspeccione todo el tráfico en tiempo real y a escala de la nube. Los datos confidenciales nunca salen de la red a través de una conexión que no sea confiable.