¿Qué es el Ransomware?

El ransomware es una amenaza creciente para las organizaciones de todo el mundo, ya que los delincuentes cibernéticos lo utilizan en ataques dirigidos y dañinos. Es un tipo de software malicioso que evita que las víctimas accedan a sus documentos, imágenes, bases de datos y otros archivos cifrándolos y exigiendo un rescate para volver a descifrarlos. Se establece una fecha límite para el pago del rescate, y si la fecha límite se supera, la demanda de rescate se duplica o los archivos se bloquean de manera permanentemente.

Solicite una Demostración Aprende Más

¿Qué es el Ransomware?

Definición

El ransomware es una amenaza cada vez mayor en todo el mundo y cobra una nueva víctima cada 10 segundos. A continuación, aclararemos qué es una amenaza de ransomware, explicaremos qué es el ransomware, cómo funciona, cómo ha cambiado en los últimos años, cómo prepararse para un ataque y cómo prevenirlo, y qué hacer ante un ataque de ransomware.

En términos simples, el ransomware es un tipo de software malicioso que, para evitar que las víctimas accedan a sus documentos, imágenes, bases de datos y otros archivos, los delincuentes cibernéticos los cifran y exigen un rescate para descifrarlos. Se asigna una fecha límite para el pago del rescate y, si se supera la fecha límite, es posible que aumente el rescate o que se pierda el acceso a los archivos de manera permanente.

¿Cómo funciona el ransomware?

Es fundamental comprender qué es el ransomware y cómo funciona a fin de prepararse para protegerse contra este ataque. El ransomware es un malware que con el que se cifran los archivos de una víctima y, luego, se exige un rescate para devolver el acceso a estos archivos. El ransomeware para tener éxito, debe obtener acceso a un sistema objetivo, cifrar los archivos allí y exigir un rescate a la víctima.

 

  • Paso 1. Vectores de infección y distribución

Como cualquier malware, el ransomware puede obtener acceso a los sistemas de una organización de diferentes maneras. Sin embargo, los operadores de ransomware suelen preferir algunos vectores de infección específicos. Uno de estos son los correos electrónicos de phishing. Un correo electrónico malicioso puede incluir un enlace a un sitio web que aloja una descarga maliciosa o un archivo adjunto que tiene incorporada la funcionalidad de descarga. Si el destinatario del correo electrónico es víctima de un ataque de phishing, el ransomware se descarga y se ejecuta en su computadora.

Otro vector de infección popular de ransomware aprovecha servicios como el Remote Desktop Protocol  – Protocolo de Escritorio Remoto (RDP). Con el RDP, un atacante que ha robado o adivinado las credenciales de log in de un empleado puede usarlas para autenticarse en una computadora dentro de la red empresarial y acceder a esta de forma remota. Con este acceso, el atacante puede descargar directamente el malware y ejecutarlo en el equipo bajo su control.

 

  • Paso 2. Cifrado de archivos

Cifrar los archivos de un usuario es lo que distingue al ransomware de otras variantes de malware. Cuando se cifran los datos confidenciales y valiosos, el operador de ransomware puede exigir un rescate a cambio de la clave de descifrado con la suposición lógica de que la víctima pagará.

Por general, el ransomware utiliza dos tipos de cifrado: simétrico y asimétrico. El cifrado simétrico requiere la misma clave para el cifrado y el descifrado, mientras que la criptografía asimétrica utiliza una clave pública para el cifrado y una clave privada para el descifrado.

Las variantes de ransomware incluyen una lista en la que se describen los tipos de archivos que se deben cifrar, ya sea que se enumeren ciertas extensiones de archivos, directorios o ambos. Para cada uno de estos archivos, el ransomware utiliza un cifrado simétrico en el archivo y guarda una copia de la clave simétrica cifrada con una clave pública. Solo el operador de ransomware conoce la clave privada correspondiente, la cual se requiere a fin de descifrar la clave simétrica que se utilizó para descifrar los archivos.

 

  • Paso 3. Pedido de rescate

Una vez que se completa el cifrado de archivos, el ransomware está preparado para realizar un pedido de rescate. Las diferentes variantes de ransomware implementan el pedido del rescate de diversas maneras, pero es habitual que el fondo de la pantalla se cambie por una nota de rescate o que, en cada directorio cifrado, se coloquen archivos de texto que incluyan la nota de rescate. Por lo general, estas notas exigen una cantidad establecida de criptomonedas a cambio del acceso a los archivos de la víctima. Si se paga el rescate, el operador de ransomware proporcionará una copia de la clave privada que se utilizó para proteger la clave de cifrado simétrico o una copia de la propia clave de cifrado simétrico. Esta información puede introducirse en un programa de descifrado (que también proporcionó el delincuente cibernético) que puede usarse para revertir el cifrado y devolver el acceso a los archivos del usuario.

La amenaza del ransomware

Ahora que comprendemos qué es el ransomware, analicemos por qué recibe tanta atención. Ante todo, el ransomware es una de las amenazas cibernéticas más grandes y conocidas que existen. En 2019, el costo de los ataques de ransomware se estimó en USD 11 500 millones. Se espera que el costo casi se duplique a USD 20 000 millones para 2021. Los ataques de ransomware afectan una amplia variedad de sistemas, incluidos los dispositivos móviles, como teléfonos inteligentes y tabletas. Solo en 2019, se detectaron más de 68 000 troyanos nuevos que instalaron ransomware en dispositivos móviles. Un ataque exitoso de ransomware puede causarle a una organización costos significativos, daños y tiempo de inactividad, ya que todos los sistemas afectados se deben limpiar y restaurar. Si bien cualquier industria puede ser un objetivo, los delincuentes cibernéticos suelen enfocarse en infraestructuras fundamentales, como hospitales, ciudades y escuelas. Para obtener más información, consulte los últimos ataques de ransomware.

La evolución del ransomware

El primer ataque de ransomware conocido se realizó en 1989. La primera extorsión de malware conocida fue un troyano que se llamaba AIDS, también denominado PC Cyborg. Este malware de bajo nivel tecnológico se distribuyó en más de 20 000 disquetes a investigadores del SIDA. Ocultaba archivos en la unidad, cifraba los nombres de los archivos y mostraba al usuario un mensaje de que había caducado la licencia para usar un tipo específico de software. Como rescate, se pedía que el usuario pagara USD 189 para recibir una herramienta de reparación. La herramienta de descifrado se extrajo con facilidad directamente del código del troyano, por lo que el malware se consideró defectuoso, ya que no era necesario pagarle al extorsionador.

 

La mayoría de las variantes de ransomware siguen los mismos pasos desde la infección inicial hasta la nota de rescate. Sin embargo, en los últimos años han cambiado drásticamente las formas en que los delincuentes cibernéticos han utilizado el ransomware.

 

  • Ataques aleatorios a gran escala

Los primeros ataques de ransomware adoptaron un enfoque de “cantidad por sobre calidad” para elegir objetivos. Estos ataques se diseñaron para infectar con ransomware la mayor cantidad posible de computadoras y solicitar un rescate relativamente pequeño a cambio de la clave de descifrado.

 

WannaCry es un excelente ejemplo de este enfoque del ransomware. WannaCry es un ransomware en forma de gusano: un ransomware que se aprovecha de una vulnerabilidad para propagarse en lugar de depender de correos electrónicos de phishing o sacar provecho de las credenciales débiles.

 

WannaCry se aprovechó de la vulnerabilidad de EternalBlue – descubierto por la NSA – y que filtró The Shadow Brokers para infectar más de 200 000 computadoras en el transcurso de cuatro días. Con un pedido de rescate de USD 300 a USD 600, se podía esperar que el ataque permitiera a los delincuentes cibernéticos obtener una suma significativa de dinero, incluso si solo una parte de las víctimas pagaba el rescate. Obtenga más información sobre el ataque de ransomware de WannaCry

 

  • Empresas e instituciones como objetivos

Con el tiempo, los ataques de ransomware se han alejado en gran medida de los ataques aleatorios a gran escala. Uno de los problemas con esta estrategia era que una persona promedio no contaba con el conocimiento técnico para pagar un rescate en criptomonedas. Como resultado, los delincuentes cibernéticos nunca recibían el pago o perdían una cantidad significativa de tiempo guiando a las personas a través del proceso.

 

En la actualidad, la mayoría de los ataques de ransomware tienen un objetivo mucho más específico. Ha aumentado el uso de correos electrónicos de phishing dirigido y de RDP como métodos de entrega, lo que permite que haya mayores posibilidades de que los ataques tengan éxito. Con estos ataques dirigidos, también se exigen mayores pedidos de rescate, ya que los delincuentes cibernéticos se enfocan en organizaciones que no pueden permitirse perder sus datos y que cuentan con los recursos para pagar el rescate, como hospitales,  escuelas, ciudades y las grandes empresas que se mencionaron anteriormente.

 

El ransomware Ryuk es una de las variantes de ransomware más conocidas que lleva a cabo este nuevo ataque más dirigido. Las infecciones del ransomware Ryuk se adaptan a una organización en particular y exige que las víctimas se comuniquen con el atacante por correo electrónico para negociar el pago del rescate. Este enfoque más personal también implica un precio más alto: Ryuk bate constantemente récords por los pedidos de rescate más altos hasta la fecha.

 

  • Agrupación de robo de datos

La última etapa en la evolución del ransomware se diseñó para resolver el problema de que las víctimas de ransomware suelen decidir no pagar el rescate exigido. Muchas organizaciones han decido intentar recuperarse por su cuenta, a un costo mucho mayor, en lugar de permitir que los delincuentes cibernéticos se beneficien de los ataques.

 

Los operadores de ransomware, como los que están detrás de las variantes de ransomware Maze y REvil, han respondido a esta tendencia con la agrupación de la funcionalidad de robo de datos dentro del ransomware. Antes de cifrar los datos en una computadora objetivo, el malware extrae parte de ellos para usarlos contra la víctima. Si el objetivo del ataque se niega a pagar el rescate, estos datos se pueden filtrar públicamente o vender al mejor postor. Como resultado, se podría producir una pérdida de ventaja competitiva o aplicar sanciones en virtud del Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas in Ingles) o leyes similares en materia de privacidad, lo cual generaria en las víctimas de ransomware un mayor incentivo para pagar.

Últimos ataques de ransomware

En abril de 2020, Cognizant, una de las empresas de tecnología y consultoría más grandes de la lista Fortune 500, confirmó que sufrió un ataque de ransomware Maze.

 

Maze no es el típico ransomware de cifrado de datos. Este ataque no solo se extiende a través de una red, infectando y cifrando cada computadora en su camino, sino que también extrae los datos y los envía a los servidores de los atacantes, donde se guardan para el rescate. Si no se paga un rescate, los atacantes publican los archivos en línea. Sin embargo, un sitio web que se sabe que se relaciona con los atacantes de Maze aún no ha revelado ni publicado los datos asociados a Cognizant.

 

En diciembre, el FBI advirtió a las empresas en privado acerca de un aumento en los incidentes de ransomware relacionados con Maze.

 

Desde la advertencia, varias empresas importantes han sufrido ataques de Maze, incluidos la aseguradora cibernética Chubb, el gigante contable MNP, un estudio de abogados y una compañía petrolera.

Leer más sobre el ransomware Maze

Variantes de ransomware más conocidas

  • CryptoWall: es un ransomware que comenzó como un doble de CryptoLocker, pero que finalmente lo superó. Después de la neutralización de CryptoLocker, CryptoWall se convirtió en uno de los ransomware más prominentes hasta la fecha. CryptoWall es conocido por el uso cifrado AES y por llevar a cabo las comunicaciones de comando y control a través de la red anónima Tor. Se distribuye ampliamente a través de exploit kits, campañas de phishing y publicidad maliciosa.

 

  • WannaCry: es un ransomware que se propagó en un ataque a gran escala en mayo de 2017 y se aprovechó de la vulnerabilidad de seguridad de Windows SMB , también conocida como EternalBlue, a fin de propagarse dentro de las redes y entre ellas. Infectó a más de 100 000 computadoras, ya que se aprovechó de una vulnerabilidad de Microsoft Windows aun sin parche.

 

  • Jaff: es un ransomware que comenzó a distribuirse por la botnet Necrus en mayo de 2017 a través de correos electrónicos de spam que incluían un archivo PDF adjunto con un archivo DOCM incrustado. Cuando el malware surgió por primera vez, se propagó masivamente a una tasa de infección de aproximadamente 10 000 correos electrónicos enviados por hora.

 

  • Locky: es un ransomware que comenzó a distribuirse en febrero de 2016 y se propaga principalmente a través de correos de spam que incluyen un descargador con la apariencia de un archivo Word o Zip adjunto, que luego descarga e instala el malware que cifra los archivos del usuario.

 

  • TorrentLocker: es un ransomware que cifra los documentos, las imágenes y otros tipos de archivos del usuario. Se solicita a las víctimas que paguen un rescate a los atacantes de hasta 4,1 bitcoines (aproximadamente USD 1800 en ese momento) para descifrar sus archivos.

 

  • Cerber: es un ransomware que funciona sin conexión, lo que significa que no necesita comunicarse con su servidor de comando y control antes de cifrar archivos en un equipo infectado. Se propaga principalmente a través de campañas de publicidad maliciosa que utilizan los exploit kits, pero también a través de campañas de spam. El autor opera este ransomware como un servicio; recluta afiliados a fin de difundir el malware a cambio de una parte del pago del rescate.

Protegerse del ransomware y prevenirlo

Prepararse adecuadamente puede disminuir drásticamente el costo y el efecto de un ataque de ransomware. Si se toman las siguientes medidas, se puede reducir la exposición de una organización al ransomware y minimizar los efectos:

  • Capacitación y educación sobre concientización cibernética: con frecuencia, el ransomware se propaga mediante correos electrónicos de phishing. Es fundamental capacitar a los usuarios sobre cómo identificar y evitar posibles ataques de ransomware. En general, la capacitación del usuario se considera una de las defensas más importantes que una organización puede implementar, ya que actualmente muchos de los ataques cibernéticos comienzan con un correo electrónico dirigido que ni siquiera contiene malware, sino que se trata solo de un mensaje de ingeniería social para persuadir al usuario a hacer clic en un enlace malicioso.

 

  • Copias de seguridad de datos continuas: según la definición de ransomware, es un malware diseñado para que el pago del rescate sea la única manera de devolver el acceso a los datos cifrados. Las copias de seguridad automatizadas y protegidas de los datos permiten que una organización se recupere de un ataque con una pérdida mínima de datos y sin el pago de rescate. Realizar copias de seguridad periódicas de los datos como un proceso de rutina es una práctica muy importante para evitar la pérdida de datos y poder recuperarlos en caso de corrupción o mal funcionamiento del hardware del disco. Además, las copias de seguridad funcionales pueden ayudar a que las organizaciones se recuperen de los ataques de ransomware.

 

  • Parches: los parches son un componente fundamental para defenderse de los ataques de ransomware, ya que los delincuentes cibernéticos suelen buscar las últimas vulnerabilidades de seguridad disponibles que se descubren en los parches y, luego, apuntan a sistemas que aún no cuentan con estos parches. Por este motivo, es fundamental que las organizaciones garanticen que se hayan aplicado los últimos parches en todos los sistemas, ya que se reduce la cantidad de posibles vulnerabilidades dentro de la empresa de las que puede aprovecharse un atacante.

 

  • Autenticación del usuario: una técnica favorita de los atacantes de ransomware es acceder a servicios como RDP con credenciales de usuario robadas. El uso de una autenticación de usuario sólida puede dificultar que un atacante utilice una contraseña que haya adivinado o robado.

 

  • Soluciones contra el ransomware: la necesidad de cifrar todos los archivos de un usuario significa que el ransomware tiene una huella digital única cuando se ejecuta en un sistema. Las soluciones especializadas contra el ransomware pueden utilizar esta huella para identificar y eliminar procesos potencialmente maliciosos y, de este modo, minimizar el daño causado.

Remover el ransomware: ¿qué hacer ante un ataque?

Un mensaje de rescate no es algo que queramos ver en nuestras computadoras, ya que revela que una infección de ransomware tuvo éxito. En este punto, se pueden tomar algunas medidas para responder a una infección activa de ransomware, y una organización debe tomar la decisión de pagar o no el rescate.

 

  • ¿Cómo mitigar una infección activa de ransomware?

Muchos ataques exitosos de ransomware solo se detectan después de que se completa el cifrado de datos y aparece una nota de rescate en la pantalla de la computadora infectada. En este punto, es probable que ya no se puedan recuperar los archivos cifrados, pero se deben tomar algunas medidas de inmediato:

  1. Ponga el equipo en cuarentena: algunas variantes de ransomware intentarán propagarse a unidades conectadas y otros equipos. Para limitar la propagación del malware, elimine el acceso a otros posibles objetivos.
  2. Deje la computadora encendida: el cifrado de archivos puede producir que una computadora sea inestable, y apagarla puede provocar la pérdida de memoria volátil. Mantenga la computadora encendida para aumentar la probabilidad de recuperación.
  3. Cree una copia de seguridad (BackUp): con algunas variantes de ransomware, es posible descifrar los archivos sin pagar el rescate. Realice una copia de los archivos cifrados en medios extraíbles en caso de que se encuentre una solución en el futuro o que un intento fallido de descifrado dañe los archivos.
  4. Busque descifradores: consulte el proyecto No More Ransom Project para verificar si existe un descifrador gratuito disponible. Si es así, ejecútelo en una copia de los datos cifrados para comprobar si pueden restaurar los archivos.
  5. Solicite ayuda: con frecuencia, las computadoras almacenan copias de seguridad de los archivos que se guardan en estas. Un experto en análisis forense digital puede recuperar estas copias si el malware no las ha eliminado.
  6. Borre y restaure: restaure el equipo con una instalación segura de un sistema operativo o una copia de seguridad. De este modo, se garantiza que el malware se elimine por completo del dispositivo.

 

  • ¿Debería pagar el rescate?

Según la definición de ransomware, este ataque está diseñado para poner a las víctimas en una posición en la que deban elegir entre pagar un rescate y perder el acceso a sus datos de manera permanente. En muchos casos, el costo de un rescate es menor que intentar recuperar los datos sin pagar.

 

Sin embargo, las prácticas recomendadas de ciberseguridad sugieren no pagar el rescate por varias razones:

  • Las ganancias promueven el ransomware: los operadores de ransomware crean y utilizan este malware para ganar dinero. Pagar un rescate les permite continuar operando y mantiene viva la amenaza del ransomware.
  • Pagar demuestra la voluntad de pagar: al pagar un rescate le demuestra a un delincuente cibernético que está dispuesto a pagar para poner fin a una amenaza cibernética. Esto aumenta la probabilidad de ser el objetivo de futuros ataques.
  • Pagar no garantiza la recuperación: pagar un rescate implica confiar en que el delincuente cibernético le brindará la clave de descifrado a cambio. Sin embargo, no todos los pagadores de rescate reciben una clave. Incluso con una clave, no todos los datos se recuperan con éxito.

 

Decidir si una organización puede pagar o no un rescate recae en la propia organización. Si bien las prácticas recomendadas sugieren que los pedidos de rescate nunca se deben pagar, cada caso es único.

¿Cómo puede ayudar Check Point?

La tecnología Anti-Ransomware de Check Point utiliza un motor que se diseñó con el fin de brindar protección contra las variantes de ransomware de día cero más sofisticadas y evasivas, recuperar los datos cifrados de manera segura y, de este modo, garantizar la continuidad y la productividad de la empresa. Nuestro equipo de investigación verifica la eficacia de esta tecnología todos los días, y demuestra constantemente resultados excelentes en la identificación y la mitigación de ataques.

SandBlast Agent, el producto líder en prevención y respuesta de endpoint de Check Point, incluye tecnología contra ransomware, brinda protección a navegadores web y terminales y aprovecha las protecciones de red líderes en la industria de Check Point. SandBlast Agent ofrece prevención y corrección de amenazas completas y en tiempo real en todos los vectores de amenazas de malware, lo que permite que los empleados trabajen de manera segura, sin importar dónde se encuentren y sin comprometer la productividad.

Recommended Resources