Explicación del ransomware (Parte 1): Qué es y cómo prevenirlo
El aumento de los ataques de ransomware en la última década ha sido nada menos que meteórico. Al igual que otras formas de malware, el ransomware existe desde hace décadas y, por lo general, supone una amenaza para todos los dispositivos y datos personales y de la empresa. ¿En qué consiste un ataque de ransomware? ¿Por qué es potencialmente uno de los tipos de ciberataque más temidos a nivel mundial? A continuación, se explora todo lo que necesita saber sobre los ataques de ransomware, cómo operan y algunas de las medidas que puede tomar para prevenirlos o mitigarlos.
¿Qué es un ataque de ransomware?
El ransomware es esencialmente un malware que utiliza el cifrado para pedir un rescate por los datos de la víctima. Por lo general, los datos de un usuario o de una organización se cifran, lo que les impide acceder a sus archivos, bases de datos o aplicaciones. Posteriormente, se pide un rescate para poder acceder a los datos cifrados. Los pagos suelen realizarse con criptomonedas.
En realidad, muchos ataques de ransomware como WannaCry están diseñados para infiltrarse y propagarse por las redes de las empresas, apuntando a las bases de datos y los servidores de archivos. Esto les permite, en última instancia, paralizar las operaciones empresariales en poco tiempo. Curiosamente, algunos de los ataques de ransomware más devastadores de los últimos tiempos fueron perpetuados por bandas de ransomware, una gran red formada por varios grupos de ciberdelincuentes.
¿Cómo funciona un ataque de ransomware?
Entre junio de 2020 y junio de 2021, hubo un aumento del 93% en los ataques de ransomware reportados a nivel mundial. Las bandas de ransomware también son cada vez más atrevidas en sus peticiones de rescate. Las pequeñas y medianas empresas se encuentran con demasiada frecuencia en el extremo receptor de estos ataques y tendrán que reevaluar su posicionamiento de ciberseguridad en respuesta a esta evolución.
Para que un ataque de ransomware tenga éxito, el atacante necesita primero obtener acceso. Una vez obtenido el acceso y ejecutado, estas son algunas de las acciones que suele realizar el ransomware.
Cifrado de archivos sensibles
La acción más común de la mayoría de los ransomware es el cifrado de archivos sensibles. Esto impide a la víctima acceder a los archivos y posiblemente a todo el sistema. Los archivos sensibles pueden incluir bases de datos, códigos fuente, imágenes y vídeos. Aunque la técnica de cifrado varía de un ataque de ransomware a otro, normalmente se necesita una clave de descifrado para recuperar el acceso a los archivos cifrados.
Exfiltración de datos
En algunos casos, el ransomware puede exfiltrar tus datos. Por ejemplo, cuando el ransomware utiliza la técnica de la doble extorsión, el atacante o la banda podría realizar una transferencia de datos no autorizada desde tu sistema. Para las víctimas, esto podría suponer el robo de la propiedad intelectual y otros efectos devastadores.
Propagación a través de la red
Algunos ransomware también pueden propagarse por las redes una vez ejecutados. Por ejemplo, el ransomware WannaCry de 2017 consiguió extenderse por 230.000 ordenadores en más de 150 países de todo el mundo. Al explotar una vulnerabilidad en Windows, este ransomware se extendió esencialmente a través de las redes sin obstáculos.
¿Cuáles son los puntos de acceso iniciales más utilizados para lanzar ataques de ransomware?
Para lanzar un ataque de ransomware, el atacante debe encontrar primero un punto de entrada en el sistema de la víctima. Comprender los puntos de acceso iniciales más utilizados por los hackers ayudará en última instancia a las empresas a entender cómo prevenir o mitigar los ataques de ransomware.
Phishing
Al igual que el ransomware, los ataques de phishing han aumentado en los últimos tiempos y no es de extrañar. Los correos electrónicos de phishing son actualmente el vehículo más utilizado para distribuir ransomware. Los atacantes suelen utilizar estos correos electrónicos cuidadosamente elaborados para atraer a las víctimas y hacer que descarguen el malware o revelen información de acceso.
Mientras que los ataques básicos de phishing pueden ser detectados y finalmente detenidos, los intentos más sofisticados pueden ser más difíciles de detectar. Es importante entender que este panorama de amenazas cambia constantemente y las empresas deben responder adecuadamente para evitar su probabilidad de éxito. Afortunadamente, la educación sobre el phishing, especialmente a través de simulaciones, ha tenido mucho éxito a lo largo de los años para ayudar a las empresas a limitar o prevenir los ataques. Esto es especialmente vital para las pequeñas y medianas empresas que pueden no tener el presupuesto para dirigir un departamento de TI completo o desplegar sofisticadas tecnologías antiphishing.
Agentes de acceso inicial
Los atacantes de ransomware más sofisticados confían ahora en los agentes de acceso inicial para adquirir acceso a los sistemas vulnerables de las empresas. Los intermediarios de acceso inicial ofrecen esencialmente acceso como servicio a los operadores de ransomware, obteniendo acceso inicial o sistemas empresariales y vendiéndolos a los ciberatacantes.
Suelen proporcionar a las bandas de ransomware y a los atacantes una gran cantidad de víctimas que comprometer. Se puede imaginar a un agente de acceso inicial como un intermediario que encuentra acceso a organizaciones vulnerables y las vende al mejor postor. Se sabe que este comercio tiene lugar en la dark web.
¿Qué es un ataque de ransomware de doble extorsión?
El ataque de ransomware de doble extorsión es una tendencia creciente en el panorama de la ciberseguridad en la que, además de cifrar los archivos sensibles, un atacante también amenaza con exponer los datos si te niegas a pagar el rescate. En el pasado, los ataques de ransomware de extorsión consistían normalmente en cifrar los archivos y borrarlos cuando las víctimas no pagaban el rescate. Sin embargo, a medida que más empresas siguen invirtiendo en soluciones de seguridad, los ciberdelincuentes han tenido que evolucionar.
Ahora, los ataques de ransomware de doble extorsión hacen que los actores maliciosos primero exfiltren o transfieran los datos y, posteriormente, los liberen en el dominio público o chantajeen a las empresas cuando se niegan a pagar la petición de rescate. También se sabe que las bandas de ransomware se ponen en contacto con los clientes y socios de las víctimas para presionarles y hacerles pagar.
Por ejemplo, la famosa banda de ransomware REvil atacó recientemente a Quanta, un proveedor del gigante tecnológico y principal fabricante de smartphones Apple. Para aumentar la presión sobre Quanta para que pagara el rescate exigido, REvil filtró los planos de algunos productos de Apple y se puso en contacto directamente con Apple, exigiendo un rescate de 50 millones de dólares.
Cuáles son las principales bandas de ransomware que operan actualmente
Aquí están las 5 principales bandas de ransomware en términos de su actividad más reciente y su tamaño.
REvil (también conocido como Sodin o Sodinokibi)
REvil ha sido responsable de algunos de los ataques de ransomware más descarados de los últimos tiempos. Por ejemplo, expertos como Blackfog creen que esta banda es responsable de uno de cada trece ataques de ransomware realizados en 2021 hasta ahora. Desde los ataques a Apple y Acer hasta los realizados a proveedores de servicios de salud de Estados Unidos y MSP de TI, la banda de ransomware REvil deja devastación a su paso.
Además, Revil es supuestamente responsable del ataque de ransomware a Kaseya, un proveedor de soluciones de TI para MSP y empresas. Este ataque a Kaseya provocó la encriptación de servidores y estaciones de trabajo de más de mil empresas de todo el mundo. El ataque de ransomware aprovechó una vulnerabilidad en el software VSA de Kaseya contra varios MSP y sus clientes. Esto significa que alrededor de 800-1500 pequeñas y medianas empresas se habrían visto afectadas por el ataque de ransomware de Kaseya a través de sus MSP. El hecho de que REvil haya facilitado una clave de descifrado por 70 millones de dólares es quizá una confirmación de su responsabilidad.