Desde hace muchos años existen diversos tipos de software maliciosos o virus de computadora, este problema no es algo nuevo, pero ¿qué es un ransomware?
El ransomware es un tipo de malware, difundido con más frecuencia que otros a causa del tipo de víctimas que acecha, la larga lista va desde las PyMES, hasta gobiernos y entidades públicas de muchos países. En muchas oportunidades los cibercriminales han conseguido dar en el blanco con sus objetivos, sin embargo, el ransomware sigue siendo un tema que muchas organizaciones desconocen.
Se estima que para 2021, los costos por los daños de ransomware a escala global van a ser de USD 20.000 millones de dólares, incrementándose un 5.700% comparado con el 2015.
Cuando hablamos de ransomware, necesitamos trazar una línea entre lo que solía ser y lo que es actualmente. ¿Por qué? Porque hoy en día el ransomware no se trata solo de cifrar datos, sino principalmente de la exfiltración de datos. Después de eso, se trata de cifrado de datos y de dejar pruebas convincentes de que el atacante estuvo en la red, y finalmente, de extorsión. Y de nuevo, no se trata de la pérdida de datos en sí, sino de publicar datos robados en Internet. Vamos a llamarlo “Ransomware 2.0”.
Pero empecemos desde el principio ¿cómo funciona el ransomware?
La técnica utilizada por el ransomware es encriptar la información de la computadora de la víctima, volviéndola inaccesible. Tras el pago del rescate, que es típicamente en criptoactivos, la víctima recibe la clave para desencriptar la información.
En todos los casos, el punto de entrada original es iniciar el reconocimiento de la red, luego el movimiento lateral y luego la exfiltración de datos. Después de eso viene el “golpe de gracia”, el ransomware. Para cuando se implementa el ransomware, el actor de la amenaza podría ya haber eliminado o deshabilitado el producto antimalware, porque ya tenían el control total sobre la red de dominio y podían operar como administradores legítimos.
Diferentes grupos de ransomware utilizan diferentes técnicas de ataques, pero todas terminan en el cifrado de datos:
- Infección: Los atacantes intentan o bien engañar a un empleado de la organización para que de alguna forma ejecute un programa malicioso, siendo un correo electrónico conocido como phising la vía más común y de la que hemos hablado anteriormente, o bien explotar alguna vulnerabilidad conocida no corregida para lograr ejecutar este malware. También existe la posibilidad de la participación deliberada de algún empleado de la organización víctima.
- Movimiento lateral: Una vez controlando un dispositivo de la organización los atacantes ponen en marcha la segunda fase, que denominamos “movimiento lateral” en la jerga de la ciberseguridad, cuando desde un dispositivo de la organización se propaga a la mayor cantidad de computadoras posible en busca de activos clave.
Si bien intentan hacer esto lo más rápido posible, puede tomar largos períodos de tiempo, pudiendo llegar a varios meses.
Los criminales trabajan con mucho sigilo, utilizando técnicas de evasión, para pasar lo más desapercibidos posibles. Durante esta etapa, buscan vulnerar los servidores de autenticación para poder crear usuarios con privilegios administrativos, instalar masivamente software para controlar los servidores de gestión de actualizaciones y destruir los mecanismos de respaldo para que cuando se secuestre la información, no sea posible recuperarla.
La finalización de esta segunda fase dependerá de cuándo los criminales decidan que pueden causar el suficiente daño a la víctima que podría inducirlo a pagar un rescate. Al mismo tiempo, los ciberdelincuentes intentan robar la mayor cantidad de información posible para venderla o utilizarla en la extorsión.
- Cifrado de datos: En esta etapa es cuando se da la instrucción al software malicioso previamente instalado para cifrar la información, mediante una clave que hasta ese momento solo los atacantes conocen. Se ejecuta muy velozmente y es muy difícil de mitigar llegado a este punto, por lo que se da notificación a la víctima y se le exige el rescate.
Lo siguiente es muy similar a la operatoria de un secuestro extorsivo convencional, abriendo los delincuentes canales de comunicación y negociación con la pretensión de obtener el pago a cambio de entregar la clave de descifrado.
Ahora que ya sabes cómo funciona el ransomware, vayamos a la segunda parte
Tipos de ransomware
Existen dos tipos principales de ransomware: ransomware de cifrado y de bloqueo.
El ransomware de cifrado lo que hace es cifrar los archivos valiosos en un ordenador para que el usuario no pueda acceder a ellos.
Los cibercriminales que llevan a cabo los ataques de ransomware de cifrado ganan dinero exigiendo a las víctimas que paguen un rescate para recuperar sus archivos.
El ransomware de bloqueo no cifra los archivos. En su lugar, bloquea el acceso de la víctima para que no pueda utilizarlos. Una vez bloqueado el acceso, los cibercriminales que llevan a cabo los ataques ransomware pedirán un rescate para desbloquear el dispositivo.
Bien, ya conoces qué es el ransomware y cuáles son los dos tipos que existen, pero creemos que todavía puede que no comprendas la gravedad del asunto, el nivel de turbulencia que conlleva ser víctima de un ataque de este tipo.
Los ataques más graves y famosos de los últimos años.
WannaCry
WannaCry es un ataque de ransomware que se propagó por 150 países en 2017.
Diseñado para explotar una vulnerabilidad en Windows, supuestamente fue creado por la Agencia de Seguridad Nacional de Estados Unidos y filtrado por el grupo The Shadow Brokers. WannaCry afectó a 230.000 ordenadores en todo el mundo.
El ataque alcanzó a un tercio de las fundaciones hospitalarias en el Reino Unido, con un coste estimado de 92 millones de libras al NHS. Se bloqueó el acceso a los usuarios y se solicitó un rescate en forma de bitcoins. El ataque puso de relieve el uso problemático de sistemas obsoletos, que dejó al servicio de salud vulnerable a los ataques.
El impacto financiero global de WannaCry fue sustancial: se estima que el cibercrimen provocó pérdidas financieras por valor de 4.000 millones de dólares en todo el mundo.
Ryuk
El ransomware Ryuk, que se propagó en agosto de 2018, desactivó la opción de restauración del sistema de Windows, lo que impidió la restauración de los archivos cifrados sin una copia de seguridad.
Ryuk también cifró las unidades de red. Los efectos fueron devastadores, y muchas de las organizaciones que sufrieron el ataque en Estados Unidos pagaron los rescates exigidos.
En los informes de agosto de 2018 se estimó que los fondos recaudados con el ataque superaban los 640.000 dólares.
Troldesh
El ataque de ransomware Troldesh se produjo en 2015 y se propagó a través de correos electrónicos de spam con enlaces o archivos adjuntos infectados.
Curiosamente, los atacantes de Troldesh se pusieron en contacto con las víctimas directamente por correo electrónico para solicitar los rescates. Los cibercriminales incluso negociaron descuentos para las víctimas con las que entablaron una buena relación, algo muy poco común.
Esta historia es sin duda la excepción, no la regla. Nunca es una buena idea negociar con cibercriminales. Evita pagar el rescate exigido a toda costa, ya que esto solo fomenta esta forma de cibercrimen.
Petya
Petya (no debe confundirse con ExPetr) es un ataque ransomware que se lanzó por primera vez en 2016 y que resurgió en 2017 como GoldenEye.
En lugar de cifrar archivos específicos, este despiadado ransomware cifra todo el disco duro de la víctima. Para ello, cifra la tabla maestra de archivos (MFT, del inglés «Master File Table»), lo que impide el acceso a los archivos del disco.
Petya se propagó por los departamentos de RRHH a través de un correo electrónico de solicitud de empleo falso con un enlace a Dropbox infectado.
Jigsaw
Jigsaw es un ataque ransomware que comenzó en 2016. El nombre de este ataque proviene de la franquicia Saw, ya que incluía una imagen del muñeco de la película.
Jigsaw iba eliminando gradualmente más y más archivos de la víctima cada hora que pasaba sin pagarse el rescate exigido. El uso de imágenes de una película de terror en este ataque causó a las víctimas un malestar aún mayor.
GandCrab
GandCrab es un ataque de ransomware bastante desagradable que amenazaba con revelar los hábitos de visualización de pornografía de la víctima.
Los cibercriminales de GandCrab, que afirmaban haber secuestrado la webcam de los usuarios, exigían un rescate y amenazaban a las víctimas con que publicarían el material embarazoso si no se pagaba.
Tras su primer lanzamiento en enero de 2018, GandCrab evolucionó a varias versiones. Como parte de la iniciativa No More Ransom, los proveedores de seguridad para internet y la policía colaboraron a fin de desarrollar un descifrador de ransomware para rescatar los datos confidenciales de la víctima de manos de los cibercriminales de GandCrab.
el Ransomware 2.0 va de largo
Cuando hablamos de 2.0, nos referimos a ransomware dirigido con exfiltración de datos. Todo el proceso de extorsión se basa principalmente en que los datos de las víctimas no se publiquen en Internet y solo entonces en el descifrado.
¿Por qué es tan importante para las víctimas que sus datos no se publiquen? Porque las posibles demandas y multas debidas a violaciones de regulaciones como HIPAA, PIC o GDPR pueden resultar en enormes pérdidas financieras, daños a la reputación y quiebra potencial.
Egregor
El ransomware de Egregor es un nuevo ejemplar que se descubrió en septiembre de 2020 y es un ejemplo claro de ransomware 2.0
Egregor suele ser distribuido por los delincuentes tras una violación de la red. La muestra de malware es un archivo de biblioteca de enlace dinámico (DLL) que debe iniciarse con la contraseña correcta dada como argumento de línea de comandos. La DLL generalmente se elimina de Internet. En ocasiones, los dominios utilizados para difundirlo explotan nombres o palabras utilizados en la industria de la víctima.
Egregor es probablemente la familia Ransomware más agresiva en términos de negociación con las víctimas. Solo da 72 horas para contactar al actor de la amenaza. De lo contrario, los datos de la víctima se procesan para su publicación.
El pago del ransomware se negocia y acuerda a través de un chat especial asignado a cada víctima. El pago se recibe en bitcoins (BTC).
Conclusiones y recomendaciones
Mientras las empresas vean a los actores de la amenaza de ransomware como amenazas de malware típicas fallarán.
No se trata solo de protección contra punto final (endpoint), también se trata de concientizar acerca de este problema.
Comprender que implica robo de datos, vergüenza pública, y todo lo que lleva a cualquier tipo de problemas al final por difusión de información sensible.
El ransomware es una amenaza líder basada en el impacto que tiene dentro de una organización, ya que un ataque de ransomware puede cerrar completamente una empresa.
Debido al éxito financiero del ransomware, continúa atrayendo a los ciberdelincuentes, que lanzan ataques a gran escala que buscan atrapar a víctimas descuidadas o que planean cuidadosamente ataques altamente enfocados dirigidos a objetivos específicos que tienen más probabilidades de pagar.
el Ransomware es relativamente fácil de prevenir, sólo se necesita de unos buenos fundamentos en seguridad informática. Nuestras reglas básicas son:
- No exponga los servicios de escritorio remoto (como RDP) a redes públicas, a menos que sea absolutamente necesario, y utilice siempre contraseñas seguras.
- Mantener una plataforma de protección de Endpoint actualizada y bien parametrizada
- Mantenga la higiene digital de los dispositivos, instalando las actualizaciones de seguridad provistas por los fabricantes lo más rápido posible para reducir la brecha de exposición.
- Implemente soluciones de detección y respuesta. La prevención basada en firmas que tienen los antivirus en la actualidad para los dispositivos no basta y por eso es necesario sumar software de detección y respuesta, EDR por sus siglas en inglés
- Concienciar a usuarios para que no ejecuten aplicaciones no autorizadas, y para que desconfíen de links y archivos que les llega por correo
- Remover servicios y aplicaciones innecesarias, así como fortalecer las configuraciones de seguridad en general
Fuente: