Ransomware qué es y cómo funciona
Ransomware qué es y cómo funciona

Explicación del Ransomware. Qué Es y Cómo Funciona

Cada día, los especialistas en ciberseguridad detectan más de 200.000 nuevas cepas de ransomware. Esto significa que cada minuto aparecen no menos de 140 cepas capaces de evitar la detección e infligir daños irreparables. Pero, en definitiva, ¿qué es el ransomware? En pocas palabras, el ransomware (acrónimo de las palabras en inglés ransom -rescate- y software) es una de las ciberamenazas más comunes y más peligrosas de la actualidad, con consecuencias perjudiciales tanto para los individuos como para las empresas.

En este artículo, explicaré qué es el ransomware, cómo funciona, sus objetivos principales, cómo prevenirlo y qué hacer si eres atacado. Además, las estadísticas recientes y los ejemplos de ransomware te mostrarán hechos reales para que entiendas que el ransomware realmente ocurre y cómo.

¿Qué es el Ransomware?

El ransomware es un sofisticado software malicioso que cifra todos los datos del PC o del dispositivo móvil de la víctima, bloqueando el acceso del propietario a los mismos. Una vez que se produce la infección, las víctimas reciben un mensaje en el que se les indica que deben pagar una determinada cantidad de dinero (normalmente en Bitcoins) para obtener la clave de descifrado.

Ejemplo real de Ransomware
Ejemplo real de Ransomware

Normalmente, también hay un límite de tiempo para completar el pago, de lo contrario, los archivos podrían perderse para siempre. Hay que tener en cuenta que no hay garantía de que, aunque la víctima pague el rescate, vaya a recibir la clave de descifrado.

¿Cómo Funciona el Ransomware?

Metodología de ataque del Ransomware
Metodología de ataque del Ransomware

Cada ransomware tiene un comportamiento diferente. Hay dos tipos de ransomware: el ransomware de bloqueo y el ransomware de cifrado. El primero bloquea a la víctima del sistema operativo haciendo imposible el acceso al escritorio y a cualquier aplicación o archivo y el segundo es el más común que incorpora algoritmos avanzados de cifrado y está diseñado para bloquear los archivos del sistema.

Sin embargo, el resultado es siempre el mismo. Bloquear los archivos o sistemas y exigir un rescate por su recuperación. Estos son algunos de los pasos más comunes sobre el funcionamiento del ransomware

Paso 1: Entrega y despliegue de ransomware

Los ciberdelincuentes simplemente buscan la forma más fácil de infectar un sistema o una red y utilizan esa puerta trasera para difundir el contenido malicioso. Sin embargo, estos son los métodos de infección más comunes utilizados por los ciberdelincuentes:

  • Campañas de correo electrónico de phishing que contienen enlaces o archivos adjuntos maliciosos (hay un montón de formas que el malware puede utilizar para disfrazarse en la web);
  • Explotaciones de seguridad en software vulnerable;
  • Redireccionamiento del tráfico de Internet a sitios web maliciosos;
  • Sitios web legítimos que tienen código malicioso inyectado en sus páginas web;
  • Drive-by-Download (descargas involuntarias de software);
  • Campañas de publicidad maliciosa;
  • Mensajes SMS (cuando se dirigen a dispositivos móviles);
  • Explotación del Protocolo de Escritorio Remoto (RDP) vulnerable.

Paso 2: Propagación del ransomware

Tras el acceso inicial, el ransomware se propaga mediante tácticas de movimiento lateral a todos los dispositivos de la red e intenta conseguir un acceso completo. Si no se establece una microsegmentación o una segmentación de la red, el ransomware se moverá lateralmente en la red, lo que significa que la amenaza se extiende a otros puntos finales y servidores en todo el entorno de TI, por lo que se autopropaga. De este modo, los hackers pueden utilizar técnicas de evasión de la detección para construir ataques persistentes de ransomware.

Paso 3: Ejecución del ataque

Ejemplo de cómo funciona el Ransomware
Ejemplo de cómo funciona el Ransomware

EXFILTRACIÓN DE DATOS

Si en el pasado el ransomware utilizaba tácticas como el cifrado simétrico débil, ahora los operadores de ransomware aprovechan métodos más avanzados como la exfiltración de datos. Básicamente, los hackers pueden exfiltrar los datos sensibles de la empresa antes de realizar el cifrado, lo que da lugar a una doble extorsión: de este modo, los ciberdelincuentes pueden amenazar a las organizaciones con hacer pública su información privada si no se paga el rescate. Mantener los datos como rehenes ya no es el único método.

DESTRUIR LAS COPIAS DE SEGURIDAD

El ransomware buscará las copias de seguridad para destruirlas antes de cifrar los datos. Este tipo de malware puede reconocer las copias de seguridad por la extensión del archivo y los documentos almacenados en la nube también podrían estar en riesgo. El almacenamiento de las copias de seguridad fuera de línea o las características de sólo lectura en los archivos de copia de seguridad podrían impedir el reconocimiento y la eliminación de las copias de seguridad.

CIFRADO DE DATOS

El ransomware es prácticamente la combinación de la criptografía con el malware. Los operadores de ransomware utilizan el cifrado asimétrico, también conocido como criptografía de clave pública, un proceso que emplea un conjunto de claves (una clave pública y otra privada) para cifrar y descifrar un archivo y protegerlo del acceso o uso no autorizado (Guía para Principiantes: Introducción a la Criptografía). Las claves se generan de forma exclusiva para la víctima y sólo se ponen a su disposición tras el pago del rescate.

Es casi imposible descifrar los archivos por los que se pide un rescate sin acceder a la clave privada. Sin embargo, algunos tipos de ransomware pueden ser descifrados utilizando desencriptadores específicos de ransomware.

EXIGIR PAGO

Tras el cifrado, aparece un aviso en la pantalla con instrucciones sobre cómo pagar la clave de descifrado. Todo sucede en unos pocos segundos, por lo que las víctimas se quedan completamente atónitas mientras miran la nota de rescate con incredulidad.

La aparición de Bitcoin y la evolución de los algoritmos de cifrado ayudaron a que el ransomware pasara de ser una amenaza menor utilizada en el cibervandalismo, a una máquina de hacer dinero en toda regla. Por lo general, los actores de las amenazas solicitan el pago en Bitcoins porque esta criptomoneda no puede ser rastreada por los investigadores de ciberseguridad ni por las fuerzas del orden.

Principales Objetivos del Ransomware

Los ciberdelincuentes pronto se dieron cuenta de que las empresas y organizaciones eran mucho más rentables que los usuarios, así que fueron a por los objetivos más grandes: departamentos de policía, ayuntamientos e incluso escuelas y hospitales. Si el porcentaje de empresas que pagaron el rescate subió al 26% en 2020 y ha aumentado al 32% en 2021, los 170.404 dólares es el valor medio del rescate pagado en 2021. Pero de momento, vamos a conocer cuáles son los principales objetivos del ransomware.

Ilustración de Ransomware
Ilustración de Ransomware

Instituciones públicas

Las instituciones públicas, como los organismos gubernamentales, gestionan enormes bases de datos de información personal y confidencial que los ciberdelincuentes pueden vender, lo que las convierte en las favoritas de los operadores de ransomware. El hecho de que el personal no esté formado para detectar y evitar los ciberataques y que las instituciones públicas utilicen a menudo software y equipos anticuados, significa que sus sistemas informáticos están repletos de agujeros de seguridad que piden ser explotados.

Por desgracia, una infección exitosa tiene un gran impacto en la realización de las actividades habituales, causando enormes interrupciones. En estas circunstancias, las víctimas del ransomware sufren daños financieros, ya sea por tener que pagar grandes cantidades de ransomware o por soportar el precio de la recuperación de estos ataques.

Empresas

En definitiva, porque ahí es donde está el dinero. Los actores de las amenazas saben que una infección exitosa puede causar importantes interrupciones en el negocio, lo que aumentará sus posibilidades de cobrar. Como los sistemas informáticos de las empresas suelen ser complejos y propensos a las vulnerabilidades, pueden ser fácilmente explotados por medios técnicos. Además, el factor humano sigue siendo un gran lastre que también puede explotarse mediante tácticas de ingeniería social. Cabe mencionar que el ransomware puede afectar no sólo a los ordenadores, sino también a los servidores y a los sistemas de intercambio de archivos basados en la nube, adentrándose en el núcleo de una empresa.

Los ciberdelincuentes saben que las empresas prefieren no informar de una infección por miedo a las consecuencias legales y al daño a la marca.

Usuarios domésticos

Como no suelen tener copias de seguridad de los datos, los usuarios domésticos son el objetivo número uno de los operadores de ransomware. Tienen poca o ninguna educación en ciberseguridad, lo que significa que harán clic en casi cualquier cosa, lo que los hace propensos a ser manipulados por los ciberatacantes. Además, no invierten en las soluciones de ciberseguridad necesarias y no mantienen su software actualizado (aunque los especialistas siempre les insistan). Por último, debido al gran volumen de usuarios de Internet que pueden convertirse en víctimas potenciales, más PCs infectados significan más dinero para las bandas de ransomware.

Ejemplos de Tipos de Ransomware

Diferentes tipos de Ransomware
Diferentes tipos de Ransomware

A estas alturas ya sabes que hay muchas versiones por ahí. Con nombres como CryptXXX, Troldesh o Chimera, estas cepas parecen el material del que están hechas las películas de hackers. Así que, aunque los recién llegados quieran hacerse con una parte del dinero, un puñado de familias han establecido su dominio.

Ransomware Conti

El ransomware Conti se ha hecho famoso tras dirigirse a instituciones sanitarias. Sus métodos habituales aprovechan los ataques de phishing para lograr el acceso remoto a una máquina y seguir extendiéndose lateralmente por la red, mientras realiza el robo de credenciales y la recopilación de datos sin cifrar.

Un ataque famoso fue el que sufrió el Health Service Executive (HSE) de Irlanda el 14 de mayo de 2021, cuando la banda pidió 20 millones de dólares para no liberar los datos exfiltrados. (TLDR: detalles aquí)

Ransomware DarkSide

DarkSide es un programa de ransomware que opera como un grupo de ransomware como servicio (RaaS). Comenzó a atacar a organizaciones de todo el mundo en agosto de 2020 y, al igual que otras amenazas similares utilizadas en ciberataques dirigidos, DarkSide no solo cifra los datos de la víctima sino que también los exfiltra de los servidores afectados.

En sólo 9 meses de operaciones, se pagaron al menos 90 millones de dólares en rescates de Bitcoin a DarkSide, procedentes de 47 carteras diferentes. La banda de ransomware obtuvo alrededor de 10 millones de dólares de ese beneficio atacando a la organización de distribución de productos químicos Brenntag, que pagó un rescate de 4,4 millones de dólares, y a Colonial Pipeline, que también pagó 5 millones de dólares en criptomoneda.

Es un buen ejemplo de ransomware que utiliza la doble extorsión, ya que los hackers normalmente piden un rescate para recuperar los datos que exfiltraron, por lo que la presión de pago es mayor.

Ransomware REvil

El ransomware Revil, también conocido como Sodinokibi, se detectó por primera vez en abril de 2019 y funciona como un modelo de ransomware como servicio, es famoso por sus ataques a JBS en junio de 2021 y a Kaseya en julio de 2021.

Debido a una vulnerabilidad del software de Kaseya a los ataques de inyección SQL, el ransomware REvil logró cifrar los servidores de Kaeya. Esto dio lugar a un ataque a la cadena de suministro, ya que sus clientes fueron infectados.

JBS, la mayor empresa cárnica del mundo, se vio afectada por REvil el 30 de mayo de 2021 y tuvo que pagar un rescate de 11 millones de dólares para evitar que los hackers filtraran sus datos en línea. (ver más información aquí)

Ransomware Avaddon

El ransomware Avaddon se distribuyó a través de correos electrónicos de phishing con archivos JAVA Script maliciosos y es famoso por su ataque a la empresa francesa AXA en mayo de 2021. Sus operadores utilizan normalmente sitios web de filtración de datos para publicar allí la información de las víctimas que no pagan el rescate. (ver más información aquí)

Ransomware QLocker

Como su nombre indica, el ransomware QLocker funciona como un locker, comprometiendo los dispositivos de almacenamiento del usuario. Por lo tanto, las víctimas quedan bloqueadas hasta que proporcionan la contraseña. Sus objetivos son los dispositivos QNAP. Los archivos de estos dispositivos de almacenamiento conectados a la red se cifran en un formato de archivo 7-zip que requiere una contraseña.

Ransomware WannaCry

Aunque no sea reciente, por supuesto, no podemos dejar de mencionar este famoso. El viernes 12 de mayo de 2017, alrededor de las 11 AM ET/3 PM GMT, un ataque de ransomware de “nivel sin precedentes” (Europol) comenzó a propagar WannaCry por todo el mundo. Utilizaba una vulnerabilidad de Windows que le permitía infectar los ordenadores de las víctimas sin que estas tomaran ninguna medida. Hasta el 24 de mayo de 2017, la infección ha afectado a más de 200.000 víctimas en 150 países.

Estadísticas del Ransomware

Desde el primer ransomware de 1989 distribuido a través de disquetes y con un precio de rescate de 189 dólares hasta el rescate de un millón de dólares de hoy en día, aquí hay algunas estadísticas que te ayudarán a entender mejor la amenaza del ransomware.

  • El primer semestre de 2021 registró una duplicación de los ataques de ransomware en comparación con 2020.
  • La exfiltración y la fuga de datos fueron prácticas comunes que permitieron la doble extorsión.
  • Conti, Avaddon y REvil son los autores del 60% de los ataques.
  • Estados Unidos registró el 54,9% de las víctimas, siendo un objetivo principal de los ataques de ransomware.

Cómo Prevenir el Ransomware

Prevenir el Ransomware con Software de Seguridad
Prevenir el Ransomware con Software de Seguridad

Hay que evitar los enlaces y archivos adjuntos que no sean de confianza

Los enlaces maliciosos son, sin duda, herramientas de atracción muy populares de las tácticas de ingeniería social, estando presentes en los correos electrónicos o mensajes SPAM. Pero, nunca debes hacer clic en un enlace que parezca dudoso, ya que la infección puede producirse en poco tiempo. Un clic erróneo y las cargas útiles (payloads) del ransomware se despliegan.

Esto se aplica también a los archivos adjuntos de los correos electrónicos con archivos JavaScript maliciosos en forma de readme.txt.js, por ejemplo. En lugar de abrir inmediatamente los archivos adjuntos extraños, deberías hacer algunas comprobaciones básicas como ver quién es el remitente y verificar la dirección de correo electrónico. Si debes habilitar una macro para ver qué hay dentro, lo más probable es que sea una estafa. Por eso deberías tener siempre desactivadas las macros como medida de prevención.

Descarga sólo archivos de fuentes de confianza y, si son sospechosos, envíalos a plataformas como VirusTotal para que se compruebe mediante sandboxing.

Mantén tu software actualizado

Esto puede parecer una urgencia muy repetitiva y trivial, pero por muy simple que sea, es realmente la solución básica en términos de prevención. Esto se debe a que los programas no son perfectos y, por esta razón, los investigadores de seguridad siempre los mejoran lanzando parches. Por lo tanto, las organizaciones y los individuos sólo pueden beneficiarse de los últimos parches ejecutando actualizaciones todo el tiempo.

El principio del mínimo privilegio

El principio de mínimo privilegio (POLP) es un principio básico de la confianza cero. A los usuarios se les concede el mínimo acceso necesario a las aplicaciones o sistemas para poder realizar con éxito sus tareas. Por lo tanto, el acceso limitado hará que nadie manipule por error o no los archivos y otros datos sensibles.

Necesidad de una VPN en una WiFi pública

El Wi-Fi público nunca es seguro. Un hacker podría, por ejemplo, realizar un ataque Man-in-the-Middle. Asegúrate de utilizar una VPN para proteger tus acciones mientras estás conectado a una Wi-Fi pública.

Un buen software de ciberseguridad

Una buena protección de ciberseguridad es la clave. Utiliza soluciones de ciberseguridad fiables que protejan tus puntos finales y tu red: una herramienta de protección contra el ransomware, un cortafuegos, un buen antivirus, seguridad para el correo electrónico, un filtro DNS, parches de software automatizados, software PAM, y la lista puede continuar.

Segmentación de la red

A través de la segmentación de la red, ésta se divide en subredes y, por lo tanto, tiene diferentes segmentos. Esto es útil sobre todo cuando hablamos de movimiento lateral. Si el ransomware infecta tus sistemas, no podría propagarse a otras partes de la red si hay una delimitación. Una solución de monitorización del tráfico de red también sería buena, ya que va de la mano de la segmentación de la red.

Copia de seguridad y cifrado de datos

Las soluciones de copia de seguridad ya no representan una opción tan viable para las organizaciones hoy en día, ya que el ransomware avanzado exfiltra los datos y los utiliza como método de doble extorsión. Sin embargo, una copia de seguridad debe ser puesta en marcha, si se gestiona bien. De lo contrario, ¿cómo se pueden restaurar los datos si no se dispone de una clave de descifrado? La información en la nube debe almacenarse encriptada y las copias de seguridad deben probarse regularmente para comprobar su funcionamiento. Una copia de seguridad fuera de línea, como un disco duro, podría ser útil. Una solución de almacenamiento inmutable (WORM – Write-Once-Read-Many) almacenará tu información en un cubo y la bloqueará para que no pueda ser modificada. También puedes proteger tu copia de seguridad con una protección de punto final en tus servidores.

Fomentar una cultura de concienciación sobre la ciberseguridad

Se necesita una formación para identificar los correos electrónicos maliciosos. Una dirección de correo electrónico extraña, una redirección a un sitio web extraño, errores gramaticales, el direccionamiento impersonal podrían ser signos de correos electrónicos comprometidos. Invierte en soluciones de formación para la concienciación sobre la seguridad. Hay buenos servicios con ejemplos prácticos (por ejemplo, ThreatCop): los empleados pueden aprender mediante una simulación de phishing a enfrentarse mejor a los correos electrónicos fraudulentos.

Cómo Responder a un Ataque de Ransomware

¿Por qué es necesario un plan de respuesta? Un plan de respuesta a incidentes debería ser una buena práctica en todas las empresas porque:

  • Si lo tienes a mano, el equipo de TI sabrá quién tiene qué función y a quién hay que informar, como a los socios y proveedores, en caso de ataques de ransomware.
  • Para recuperar fácilmente tus datos y mantener tu negocio en marcha minimizando el tiempo de inactividad, ya que el tiempo perdido significa dinero perdido.

¿Cómo hacerlo entonces?

Aislar
Si tu sistema se ha infectado con ransomware, el primer paso es mantenerlo apartado del resto de la red.

Identificar
El siguiente paso es la identificación de la cepa de ransomware, es decir, qué tipo de ransomware ha comprometido su red.

Informar a
Acércate a autoridades relacionadas al delito informático, ya que en el pasado pidieron específicamente que se les informara cada vez que se produjera un ataque por motivos estadísticos y porque el ransomware es un delito. Y en términos de GDPR, evita ser multado.

Eliminar
Elimine el ransomware. ¿Cómo? Si tu ordenador está bloqueado, ábrelo en modo seguro e instala una solución antimalware para eliminar el ransomware.

A continuación, utiliza una herramienta de descifrado de ransomware. Consulta las de NO MORE RANSOM o nuestro artículo con una lista de herramientas de descifrado gratuitas.

Algo importante a tener en cuenta es que la eliminación del malware no descifra automáticamente los archivos. Así que aunque hayas eliminado el ransomware, los archivos siguen estando encriptados, por lo que tendrás que desencriptarlos con una determinada herramienta o con la clave de desencriptación.

Recuperar
Restaura los datos desde tu copia de seguridad. Pagar el rescate no es una solución.

Conclusión

El ransomware ha llevado la extorsión a una escala global, y depende de todos nosotros, usuarios, propietarios de empresas y responsables de la toma de decisiones, desbaratarla.

Ahora sabemos que:

  • crear amenazas de malware o ransomware es ahora un negocio y debe ser tratado como tal;
  • el estereotipo del “hacker solitario en el sótano” murió hace mucho tiempo
  • el panorama actual de las amenazas está dominado por grupos bien definidos y bien financiados que emplean herramientas técnicas avanzadas y habilidades de ingeniería social para acceder a los sistemas y redes informáticas
  • Además, los grupos de ciberdelincuentes son contratados por grandes Estados para atacar no sólo objetivos financieros, sino también intereses políticos y estratégicos.

También sabemos que no somos impotentes y que hay un puñado de cosas sencillas que podemos hacer para evitar el ransomware. Los ciberdelincuentes tienen tanto impacto en tus datos y tu seguridad como tú les des.

My Cart Close (×)

Tu carrito está vacío
Ver tienda