¿Qué es el Ransomware?…
Ransomware es un malware, un código malicioso diseñado para negar a un usuario u organización el acceso a archivos en su ordenador cifrando los datos para exigir un pago de rescate por la clave de descifrado, los ciberdelincuentes colocan a las organizaciones en una posición en la que pagar el rescate es la forma más fácil y económica de recuperar el acceso a sus archivos. Algunas variantes han agregado funcionalidades adicionales, como el robo de datos, para brindar un incentivo adicional a las víctimas de ransomware para que paguen el rescate.
Se ha convertido rápidamente en el más prominente y tipo visible de malware. Los recientes ataques de ransomware han afectado la capacidad de los hospitales para brindar servicios cruciales, han paralizado los servicios públicos en las ciudades y han causado daños importantes a varias organizaciones.
¿Por qué están surgiendo los ataques de Ransomware?…
La moda comenzó con el brote de WannaCry en 2017. Este ataque a gran escala y muy publicitado demostró que los ataques eran posibles y potencialmente rentables. Desde entonces, se han desarrollado y utilizado docenas de variantes en diversos ataques.
La pandemia Covid-19 también contribuyo al reciente surgimiento de variantes donde los cibercriminales explotaron diversas vulnerabilidades en las redes para liberalo e infectar a la mayor cantidad posible de víctimas.
Solo en el año 2023, los intentos de ataques de ransomware se dirigieron al 10% de las organizaciones a nivel mundial. Esto marca un aumento notable con respecto al 7% de organizaciones que enfrentaron amenazas similares el año anterior, lo que representa la tasa más alta registrada en los últimos años.
¿Cómo funciona el Ransomware?…
Para tener éxito, el ransomware debe obtener acceso a un sistema de destino, cifrar los archivos allí y exigir un rescate a la víctima.
Si bien los detalles de implementación varían de una variante de ransomware a otra, todos comparten las mismas tres etapas principales.
Vectores de infección y distribución…
El ransomware, como cualquier malware, puede acceder a los sistemas de una organización de diferentes formas. Sin embargo, los operadores de ransomware tienden a preferir algunos vectores de infección específicos. Uno de ellos son los correos electrónicos de phishing. Un correo electrónico malicioso puede contener un enlace a un sitio web que aloja una descarga maliciosa o un archivo adjunto que tiene incorporada la funcionalidad de descarga. Si el destinatario del correo electrónico cae en la trampa del phishing, el ransomware se descarga y ejecuta en su equipo.
Otro vector de infección de ransomware popular aprovecha servicios como el Protocolo de Escritorio Remoto (RDP – Remote Desktop Protocol). Con RDP, un atacante que haya robado o adivinado las credenciales de inicio de sesión de un empleado puede usarlas para autenticarse y acceder de forma remota a un ordenador dentro de la red empresarial. Con este acceso, el atacante puede descargar directamente el malware y ejecutarlo en la máquina bajo su control.
Otros pueden intentar infectar sistemas directamente, como WannaCry, el cuál, aprovechó la vulnerabilidad EternalBlue. La mayoría de las variantes de ransomware tienen múltiples vectores de infección.
Cifrado de datos…
Una vez que el ransomware ha obtenido acceso a un sistema, puede comenzar a cifrar sus archivos. Dado que la funcionalidad de cifrado está integrada en un sistema operativo, esto simplemente implica acceder a los archivos, cifrarlos con una clave controlada por el atacante y reemplazar los originales con las versiones cifradas. La mayoría de las variantes de ransomware son cautelosas al seleccionar los archivos que cifran para garantizar la estabilidad del sistema. Algunas variantes también tomarán medidas para eliminar copias de seguridad y copias de sombra de archivos para hacer más difícil la recuperación sin la clave de descifrado.
3. Demanda de rescate…
Una vez que se completa el cifrado de archivos, el ransomware está preparado para exigir un rescate. Las diferentes variantes de ransomware implementan esto de numerosas maneras, pero no es raro que se cambie el fondo de pantalla a una nota de rescate o se coloquen archivos de texto en cada directorio cifrado que contiene la nota de rescate.
Normalmente, estas notas exigen una cantidad fija de criptomonedas a cambio de acceder a los archivos de la víctima. Si se paga el rescate, el operador del ransomware «proporcionará» una copia de la clave privada utilizada para proteger la clave de cifrado simétrica o una copia de la propia clave de cifrado simétrica, algo que casi nunca suele pasar, aunque lo comenten en la nota. Esta información se puede ingresar en un programa de descifrado (también proporcionado por el ciberdelincuente) que puede utilizarla para revertir el cifrado y restaurar el acceso a los archivos del usuario.
Si bien estos tres pasos principales existen en todas las variantes, pueden incluir diferentes implementaciones o pasos adicionales. Por ejemplo, las variantes como Maze realizan escaneo de archivos, información de registro y robo de datos antes del cifrado de datos, y el WannaCry busca otros dispositivos vulnerables para infectarlos y cifrarlos.
Variantes populares de ransomware…
Existen docenas de variantes, cada una con sus propias características únicas. Sin embargo, algunos grupos han sido más prolíficos y exitosos que otros, lo que los distingue del resto.
Ryuk: es un ejemplo de una variante de ransomware muy específica. Por lo general, se entrega a través de correos electrónicos de phishing o mediante el uso de credenciales de usuario comprometidas para iniciar sesión en sistemas empresariales utilizando el Protocolo de escritorio remoto (RDP). Una vez que un sistema está infectado, Ryuk cifra ciertos tipos de archivos (evitando los cruciales para el funcionamiento de una computadora) y luego presenta una demanda de rescate.
Es conocido como uno de los tipos de ransomware más caros que existen. Ryuk exige un promedio de más de 1 millón de dólares. Como resultado, los ciberdelincuentes detrás de Ryuk se centran principalmente en empresas que tienen los recursos necesarios para satisfacer sus demandas.
Laberinto: es famoso por ser la primera variante de ransomware que combinar cifrado de archivos y robo de datos. Cuando los objetivos comenzaron a negarse a pagar los rescate, Maze comenzó a recopilar datos confidenciales de las computadoras de las víctimas antes de cifrarlos. Si no se cumplieran las demandas de rescate, estos datos se expondrían públicamente o se venderían al mejor postor. El potencial de una costosa violación de datos se utilizó como incentivo adicional para pagar.
El grupo detrás Maze oficialmente terminó sus operaciones. Sin embargo, esto no significa que se haya reducido la amenaza del ransomware. Algunas filiales de Maze han pasado a utilizar Egregor y se cree que las variantes de Egregor, Maze y Sekhmet tienen una fuente común.
ReViL (Sodinokibi): el grupo ReVil (también conocido como Sodinokibi) es otra variante dirigida a grandes organizaciones.
REvil es una de las familias más conocidas de la red. El grupo, operado por el grupo REvil de habla rusa desde 2019, ha sido responsable de muchas violaciones importantes como ‘ Kaseya’ y ‘JBS’.
Ha competido con Ryuk durante los últimos años por el título de la variante de ransomware más cara. Se sabe que ReVil exigió 800,000 dólares por el rescate.
Si bien REvil comenzó como una variante tradicional de ransomware, ha evolucionado con el tiempo. Están utilizando la técnica de doble extorsión para robar datos de empresas y al mismo tiempo cifrar los archivos. Esto significa que, además de exigir un rescate para descifrar los datos, los atacantes podrían amenazar con liberar los datos robados si no se realiza un segundo pago.
Lockbit: es un malware de cifrado de datos en funcionamiento desde septiembre de 2019 y un ransomware como servicio (RaaS) reciente. Se desarrolló para cifrar rápidamente grandes organizaciones como una forma de evitar que los dispositivos de seguridad y los equipos de TI/SOC lo detecten rápidamente.
DearCry: en marzo de 2021, Microsoft lanzó parches para cuatro vulnerabilidades dentro de los servidores Microsoft Exchange. DearCry es una nueva variante de diseñada para aprovechar cuatro vulnerabilidades recientemente reveladas en Microsoft Exchange
DearCry cifra ciertos tipos de archivos. Una vez finalizado el cifrado, DearCry mostrará un mensaje de rescate instruyendo a los usuarios a enviar un correo electrónico a los operadores para aprender cómo descifrar sus archivos.
Lapsus$: es una banda sudamericana que se ha relacionado con ataques cibernéticos contra algunos objetivos de alto perfil. La banda cibernética es conocida por su extorsión, amenazando con la liberación de información confidencial, si no se hacen demandas de sus víctimas. El grupo se ha jactado de irrumpir en Nvidia, Samsung, Ubisoft y otros. El grupo utiliza código fuente robado para disfrazar archivos de malware como confiables.
¿Cómo nos protegemos del Ransomware?…
Si no te apetece ser una víctima de este tipo de malware, puedes seguir nuestros consejos en el siguiente artículo, en el que mencionamos cómo puedes evitar que un ransomware cifre tus archivos.
