La evolución del ransomware
Cuando un ciberdelincuente quiere hacerse rápidamente con un fajo de billetes, utiliza el ransomware para infectar un ordenador y cifrar todos los datos del disco duro. El software malicioso envía una alerta al usuario indicándole que debe pagar un rescate o perder sus archivos para siempre.
En el pasado, los delincuentes exigían que los rescates se enviaran en efectivo o giros postales a apartados postales. Sin embargo, eso no siempre duró porque los apartados postales son rastreables hasta un individuo. Hoy en día, el rescate casi siempre se solicita en la moneda anónima e imposible de rastrear de Bitcoin. Ahora que los rescates pueden pagarse de forma imposible de rastrear, la frecuencia de los ataques de ransomware se ha disparado.
¿Dónde comenzó el ransomware?
El primer ataque de ransomware documentado fue perpetrado en diciembre de 1989 por un biólogo evolutivo llamado Joseph L. Popp. En 1989, Internet existía, pero no era lo que es hoy, por lo que el ataque se ejecutó a través de un disco informático infectado.
Popp envió 20.000 discos infectados a los asistentes a la conferencia internacional sobre el SIDA. Los discos estaban etiquetados como "Información sobre el SIDA – Disquetes introductorios". Bajo la apariencia de ser un cuestionario para ayudar a los usuarios a determinar su riesgo de contraer el sida, los discos estaban secretamente infectados con un ransomware apodado "Troyano del sida", también conocido como "PC Cyborg".
Después de 90 reinicios, las víctimas desprevenidas se encontraron con una demanda de rescate de 189 dólares. Popp quería que los pagos se enviaran a su apartado postal en Panamá, que finalmente fue rastreado. Sorprendentemente, fue capturado, pero nunca procesado.
Desde entonces, se han perpetrado miles de ataques de ransomware contra particulares, pequeñas empresas e incluso grandes corporaciones. Aunque los ataques de ransomware comenzaron siendo bastante básicos, se han vuelto complejos y prácticamente imposibles de rastrear. Por desgracia, debido a su rentabilidad, los ataques de ransomware han llegado para quedarse.
El ransomware es extorsión digital
Aunque la mayoría de la gente entiende el concepto de ransomware, hay que llamarlo por lo que realmente es: extorsión. La extorsión es un delito grave en Estados Unidos y por eso los delincuentes modernos son lo suficientemente valientes como para lanzar ataques de ransomware apoyándose en el anonimato de las criptodivisas.
El ransomware se convirtió en una gallina de los huevos de oro en la década de 2000
Los ataques de ransomware se basan en la tecnología de cifrado para impedir el acceso a los archivos. A lo largo de la década de 1990, a medida que los métodos de cifrado seguían avanzando, los ataques de ransomware también se hicieron más sofisticados e imposibles de descifrar. Alrededor de 2006, grupos de ciberdelincuentes empezaron a aprovecharse del cifrado asimétrico RSA para hacer que sus ataques fueran aún más imposibles de frustrar.
Por ejemplo, el troyano Archiveus utilizaba el cifrado RSA para cifrar el contenido de la carpeta "Mis documentos" del usuario. El rescate exigía que las víctimas compraran productos a través de una farmacia en línea a cambio de una contraseña de 30 dígitos que desbloquearía los archivos.
Otro ataque de ransomware por esas fechas fue el ataque GPcode. GPcode era un troyano distribuido como un archivo adjunto de correo electrónico que se hacía pasar por una aplicación de empleo. Este ataque utilizó una clave RSA de 660 bits para el cifrado. Varios años después Gpcode.AK - su predecesor - pasó a utilizar cifrado RSA de 1024 bits. Esta variante se dirigía a más de 35 extensiones de archivo.
Puede que los ataques de ransomware empezaran siendo simplistas y atrevidos, pero hoy en día se han convertido en la peor pesadilla de las empresas y en la gallina de los huevos de oro de los delincuentes.
El ransomware es una industria rentable
Los ciberdelincuentes saben que pueden ganar dinero con el ransomware y se ha convertido en una industria muy rentable.
Según un estudio de Google titulado Tracking ransomware End-to-End, los ciberdelincuentes ganan más de un millón de dólares al mes con ransomware. "Se ha convertido en un mercado muy, muy rentable y está aquí para quedarse", dijo un investigador. El estudio rastreó más de 16 millones de dólares que parecían ser pagos de rescate realizados por 19.750 personas en el lapso de dos años.
La BBC informó sobre este estudio de Google y explicó que existen múltiples 'cepas' de ransomware y algunas cepas ganan más dinero que otras. Por ejemplo, un análisis de la cadena de bloques de Bitcoin mostró que las dos cepas más populares, Locky y Cerber, ganaron USD 14.7 millones combinados en solo un año.
Según el estudio, más del 95% de los atacantes de ransomware cobraron sus pagos en Bitcoin a través de la bolsa rusa BTC-e, ya desaparecida. Probablemente nunca serán atrapados.
Cómo pueden recuperarse rápidamente las empresas tras un ataque de ransomware
Los propietarios de negocios que no están preparados para un ataque de ransomware no se recuperarán sin consecuencias, si es que se recuperan. Pagarán el rescate (que no siempre tiene como resultado la restauración de los archivos) o gastarán tiempo y dinero intentando sin éxito descifrar el cifrado.
Cuando nada funciona, obtendrán una versión anterior de sus archivos de empleados, contratistas y otras personas que puedan tener copias. Si bien es posible que encuentren la mayoría de sus archivos, no serán versiones actuales y todo el equipo deberá dedicar horas adicionales solo para que el negocio vuelva a la normalidad.
La única forma de prevenir un ataque de ransomware es estar preparado antes de que se produzca. Para ello es necesario crear copias de seguridad periódicas sin conexión en un dispositivo que no permanezca conectado a Internet. El malware, incluido el ransomware, puede infectar las unidades de copia de seguridad y las unidades USB del mismo modo. Es crucial asegurarse de mantener copias de seguridad sin conexión actualizadas.
¿Están sus datos protegidos por el software Anti-ransomware?
If you haven’t yet, now is the time to secure all endpoints with anti-ransomware software. At Check Point Software, we offer this solution to all of our endpoint security suite customers. Our endpoint security suite – Workspace Security endpoint – delivers real-time threat prevention to all of your organization’s endpoints.
Con tantos dispositivos accediendo a la red de su empresa, no puede permitirse saltarse la protección de terminales y la prevención de amenazas. El rojo sin fronteras de hoy en día requiere un software potente para protegerse contra ciberataques de todo tipo, incluido el ransomware.
With Check Point Endpoint Security, your network will be dynamically protected around the clock from ransomware and other threats.
To learn more about how Check Point can protect your network, schedule a free demo for Workspace Security endpoint or contact us for more information. If you’re not sure which services you need, our data protection experts will help you find what’s right for you.
