¿Qué son los ataques de ransomware?

¿Cómo funcionan los ataques de ransomware?

Una secuencia típica de ataque de ransomware se ve así:

Riesgo inicial

Muchos ataques de ransomware comienzan con correos electrónicos de phishing, que a menudo se hacen pasar por mensajes de minoristas, bancos u otras entidades de confianza sobre retrasos en las entregas, compras fraudulentas, saldos bajos, etc. Dichos correos electrónicos incluyen archivos o enlaces infectados que, cuando se abren, colocan software malicioso en la computadora o dispositivo móvil de la víctima para preparar un ataque.

Movimiento lateral

Una vez que el malware infecta un dispositivo, el ataque se propaga. Si el dispositivo infectado está en una red, el malware intentará comprometer un controlador de dominio o robar credenciales que le permitan moverse lateralmente por la red e infectar otros dispositivos.

Ejecución

El malware se ejecutará una vez que tenga suficiente acceso, exfiltrándose o robando los datos de la víctima. Finalmente, la víctima recibirá una solicitud de rescate, generalmente con un límite de tiempo antes de que los datos se vendan, se filtren o sean irrecuperables. Si la víctima paga, se supone que recibirá una clave de descifrado que le permitirá recuperar sus datos, pero no siempre lo hace, e incluso cuando lo hace, no siempre funciona.

¿Cómo han evolucionado los ataques de ransomware?

El ransomware comenzó en 1989, cuando los asistentes de una conferencia internacional sobre el SIDA recibieron disquetes de “Información sobre el SIDA” cargados con un virus troyano. Después de 90 reinicios en un sistema infectado, el troyano ocultaba todos los directorios, cifraba todos los archivos en el disco duro infectado y mostraba una nota de "PC Cyborg Corporation" solicitando un pago de 189 USD a una dirección en Panamá para restablecer el acceso.

La siguiente ola de ciberataques de tipo ransomware se produjo a principios de la década de 1990 con el “scareware”, llamado así por el uso de técnicas de ingeniería social basadas en el miedo. Las computadoras infectadas mostrarían un mensaje de error, seguido de una oferta para comprar y descargar software para solucionar el problema. Por supuesto, el software era más malware, a menudo diseñado para robar datos.

El auge del intercambio de archivos popularizó una categoría de ransomware llamada casilleros policiales, casilleros de pantalla o simplemente casilleros. Los casilleros, a menudo ocultos en sitios que albergan descargas p2p o contenido para adultos, mostraban un mensaje que explicaba que el sistema había sido bloqueado (frecuentemente citando a una agencia gubernamental o policial como el FBI, sospecha de actividad ilegal, etc.) hasta que el usuario pagara una multa. Muchos casilleros simplemente restringían el movimiento del mouse y un reinicio del sistema podía restaurar las funciones normales, pero el miedo llevaba a muchas víctimas a pagar.

El vínculo entre el ransomware y la criptomoneda

Al principio, las demandas de rescate solían alcanzar unos pocos cientos de dólares por parte de usuarios individuales. Además, los pagos de rescate generalmente se realizaban con tarjetas de pago comunes, lo que hacía mucho más fácil rastrear las transacciones y detectar a los actores de amenazas.

Hoy en día, las innovaciones en materia de ciberdelincuencia y tecnología criptográfica han ayudado a que el ransomware gane popularidad. En particular, bitcoin y otras criptomonedas (monedas digitales basadas en el anonimato y el cifrado) han permitido a los actores maliciosos cubrir sus huellas al hacer que las transacciones sean casi imposibles de rastrear.

Ransomware como servicio (RaaS)

Las herramientas RaaS, producto de esa mayor popularidad y éxito, a menudo se basan en suscripciones y son baratas, al igual que las ofertas SaaS legales. Muchos están disponibles en la dark web y permiten que incluso personas sin conocimientos de programación lancen un ciberataque y obtengan una parte de sus ganancias.

Ransomware de doble extorsión

Con el tiempo, una mejor tecnología de copia de seguridad y descifrado de datos comenzó a mover la balanza a favor de las víctimas. Como respuesta, en 2019, un grupo criminal llamado TA2102 perpetró el primer ataque de ransomware de doble extorsión de alto perfil, cifrando y exfiltrando los datos de la víctima antes de amenazar con filtrarlos a menos que se les pagara $2.3 millones en bitcoin. De esta manera, incluso si la víctima hubiera logrado restaurar sus datos, seguiría sufriendo una violación de datos grave a menos que pagara.

Ransomware sin cifrado

En 2022 y 2023, surgió una tendencia insidiosa que redefinió el ransomware en su esencia. Siendo tanto una evolución como una especie de regresión, los ataques de ransomware sin cifrado no cifran los archivos de las víctimas. En cambio, los atacantes se centraron únicamente en extraer datos confidenciales como palanca para la extorsión.

Las víctimas de estos ataques tienden a pertenecer a industrias que manejan PII altamente sensibles, como los sectores legal y de salud. Debido a que su principal interés es evitar la filtración de sus datos confidenciales, muchos pagarán el rescate independientemente del cifrado. Debido a que los datos no están cifrados, su recuperación es más rápida y sencilla, lo que a menudo se traduce en pagos de rescate más rápidos.

Tipos/ejemplos de ataques de ransomware

Entre los innumerables tipos de ransomware y grupos de ransomware, algunos de los más comunes y conocidos son:

• CryptoLocker: Este ransomware, caracterizado por su fuerte cifrado y su enorme botnet, tuvo tanto éxito en 2013 y 2014 que continúa inspirando ataques de imitadores.
• Dridex: Un destacado troyano conocido por robar credenciales bancarias a través de correos electrónicos de phishing, está asociado con tipos de ransomware como WastedLocker, BitPaymer y DoppelPaymer.
• WannaCry: Un criptogusano dirigido al sistema operativo Microsoft Windows, ha afectado a más de 300,000 sistemas (y muchos más) en todo el mundo desde su lanzamiento en 2017.
• NoPetya: NotPetya, que apareció poco después de WannaCry, parecía ser un ransomware, pero en realidad era un virulento "ware de destrucción" atribuido al grupo de hackers ruso Sandworm.
• Ryuk: Este ransomware se ha vinculado a una serie de grupos que han impactado industrias como la atención médica, el sector público y la educación, particularmente los sistemas escolares de EE. UU.
• REvil: Conocido por violaciones en los sectores legal, de entretenimiento y público, REvil lanzó una avalancha de ataques entre mayo de 2020 y octubre de 2021, incluido el ataque Kaseya VSA.
• DarkSide: Esta variante, responsable del ataque Colonial Pipeline de 2021, es uno de los ejemplos más famosos de ransomware de doble extorsión. Este ataque suele utilizarse como un servicio.
• GandCrab: el informe Ransomware in a Global Context 2021 de VirusTotal citó a GandCrab como el ataque de ransomware más frecuente, ya que representa el 78.5 % de las muestras tomadas para el informe.

¿Cuáles son los 7 principales vectores de ataque de ransomware?

Los atacantes de ransomware siempre están trabajando para encontrar nuevas formas de innovar sus ataques, pero varias estrategias se destacan como los medios más utilizados (y efectivos) para infiltrarse en los sistemas. Estos son los vectores de ataque de ransomware más comunes:

• Phishing: Correos electrónicos engañosos o mensajes similares, generalmente cargados de enlaces o archivos adjuntos infectados, engañan a los usuarios para que permitan que el ransomware ingrese a su sistema.
• Descargas no autorizadas: Los atacantes aprovechan las vulnerabilidades del software, el sistema operativo o el navegador para permitir descargas sigilosas de ransomware cuando la víctima interactúa con sitios web o enlaces comprometidos.
• Vulnerabilidades de software: Los atacantes aprovechan las debilidades de las aplicaciones o sistemas, dándoles puntos de entrada a una red, donde pueden implementar ransomware directamente.
• Sitios web maliciosos: Los atacantes crean sitios falsos o imitaciones que los usuarios confunden con sitios legítimos, que alojan ransomware que incitan a los visitantes a descargar con falsos pretextos.
• Ataques "watering hole": Los atacantes infectan sitios web legítimos utilizados por sus víctimas previstas y luego utilizan la ingeniería social para engañar a los visitantes para que descarguen ransomware.
• Ataques de protocolo de escritorio remoto (RDP): Los hackers obtienen acceso ilícito a conexiones RDP, generalmente descifrando o robando credenciales de inicio de sesión, para implementar ransomware directamente en una red de destino.
• Publicidad maliciosa (publicidad maliciosa): Los atacantes colocan anuncios infectados en sitios web legítimos, que infectan los sistemas con ransomware cuando las víctimas interactúan con el anuncio.

¿Debería pagar el rescate?

La pregunta más difícil para muchas víctimas de ransomware: "¿Pagar o no pagar?"

Muchas organizaciones están dispuestas a pagar para proteger sus datos, pero ¿es esa la decisión correcta? Múltiples informes desde 2021 han encontrado que alrededor del 80 % de las organizaciones que lo hacen continúan teniendo ataques repetidos. Más allá de eso, como lo expresó el CISO de Zscaler, Brad Moldenhauer, “Existe un argumento real de que pagar rescates digitales podría ayudar e incitar al terrorismo y ciertamente lo hace con el delito cibernético”.

También hay otros aspectos que es necesario considerar:

• No hay garantía de que recupere todos sus datos, suponiendo que, para empezar, esa fuera la intención del atacante (lea sobre NotPetya).
• En algunas circunstancias y jurisdicciones, pagar un rescate es ilegal. Leer más.
• En el caso de la doble extorsión, incluso si sus esfuerzos de reparación recuperan sus datos, elegir no pagar significa permitir que los actores de amenazas expongan sus datos al mundo.

A menudo, la elección se reduce a las circunstancias únicas de su organización, incluida la forma en que sus operaciones, usuarios y clientes se ven afectados por una infracción y la posibilidad de que no recupere sus datos.

¿Cuáles son los efectos del ransomware en las empresas?

El ransomware está afectando a organizaciones de todo tipo en todo el mundo, con más ataques año tras año, y puede tener efectos negativos en los ingresos, la opinión pública y muchas otras consecuencias más.

Pérdida de capital y datos

Elegir entre perder datos y perder dinero es un dilema peligroso, especialmente en industrias que procesan datos confidenciales. Si ignora las demandas de rescate, corre el riesgo de sufrir una fuga de datos. E incluso si paga, no hay garantía de que recupere sus datos.

Daño reputacional

Tanto si paga como si no, está obligado a denunciar el delito, lo que puede dar lugar a una cobertura mediática. Cuando los ataques llegan a las noticias, las organizaciones víctimas corren el riesgo de perder negocios, la confianza de los clientes o ambas cosas, incluso si se puede decir que las propias organizaciones no tienen la culpa.

Repercusiones legales

En un número cada vez mayor de estados de EE. UU., pagar un rescate es ilegal en la mayoría de los casos, y otras jurisdicciones en todo el mundo están considerando lo mismo. Además, una violación puede dar lugar a un escrutinio regulatorio adicional, lo que puede resultar en multas y otros costos legales.

Pasos para eliminar el ransomware

El ransomware se puede superar, pero hay que hacerlo paso a paso:

Paso1: Aísle los dispositivos infectados , desconectándolos de cualquier conexión por cable o inalámbrica (incluso desconectándolos de la alimentación de CA, si es necesario) para ayudar a evitar que la infección de ransomware se propague. Si descubre ransomware antes de que se ejecute, es posible que pueda eliminarlo del sistema antes de que el atacante pueda exigir un rescate.

Paso 2: Descubra a qué se enfrenta y si existe una herramienta de descifrado que pueda ayudarle a recuperar datos cifrados. Sin embargo, no debería contar con ello. Los descifradores suelen ser ineficaces contra el ransomware sofisticado y no ayudarán mucho en el caso de una doble extorsión.

Paso3: Recupere sus datos perdidos , generalmente restaurándolos desde una copia de seguridad. Mantener copias de seguridad periódicas es la única forma de garantizar que pueda recuperar todos sus datos una vez que estén cifrados. Si por algún motivo no puede recuperar sus datos, considere cuidadosamente las posibles consecuencias legales y financieras antes de cumplir con cualquier solicitud de rescate.

Paso 4: Elimine el ransomware con la ayuda de un profesional de seguridad, quien debe realizar una investigación exhaustiva de la causa raíz para determinar la vulnerabilidad que permitió el ataque.

Paso 5: Evalúe la causa de la infección y tome medidas para reforzar sus defensas donde fallaron, ya sea un exploit de puerta trasera, una falla en el filtrado de su correo electrónico, una falta de capacitación del usuario u otra cosa. Los ataques repetidos pueden suceder y ocurren, y usted puede estar mejor preparado.

La prevención del ransomware es clave

La realidad es que una vez que sus datos se cifran o se filtran, de una forma u otra, pierde. Por eso la prevención es la verdadera clave para la defensa contra el ransomware.

Probablemente sea imposible detener cada ataque de ransomware que se le presente, pero con la debida diligencia, capacitación en concientización sobre ciberseguridad y la tecnología adecuada, puede minimizar el riesgo. Necesita una estrategia antiransomware eficaz, que incluya principios y herramientas que le permitan:

• Poner en cuarentena e inspeccionar el contenido sospechoso con un sandbox basado en IA.
• Inspeccionen todo el tráfico cifrado TLS/SSL
• Implementar una protección siempre activa siguiendo las conexiones fuera de la red.

La combinación de soluciones modernas con un enfoque defensivo proactivo está ampliamente considerada como el modelo de protección contra el ransomware más eficaz del manual de ciberseguridad actual.

Cómo puede ayudar Zscaler

Zscaler ofrece protección contra el ransomware nativa de la nube para proteger a las organizaciones frente a este a través de Zscaler Zero Trust Exchange™, una plataforma que:

Utiliza cuarentena de sandbox con IA

Zscaler puede poner en cuarentena y analizar completamente archivos sospechosos o nunca antes vistos antes del despliegue, eliminando virtualmente el riesgo de infecciones del paciente cero. A diferencia de los enfoques de transferencia heredados, dichos archivos no llegarán a su entorno a menos que primero se consideren seguros.

Una solución nativa de la nube, impulsada por IA como Zscaler Sandbox (parte de Zero Trust Exchange) ofrece beneficios más allá de los de las soluciones antivirus/antimalware heredadas, algunos de los cuales son los siguientes:

• Control total de las acciones en cuarentena con una política granular definida por grupos, usuarios y tipo de contenido.
• Veredictos de seguridad en tiempo real sobre archivos desconocidos gracias al aprendizaje automático.
• Descargas de archivos rápidas y seguras; cualquier archivo identificado como malicioso será marcado para entrar en cuarentena

Inspecciona todo el tráfico cifrado

Zscaler opera una arquitectura proxy nativa de la nube que le permite realizar una inspección TLS/SSL completa a escala sin preocuparse por las limitaciones de rendimiento de los dispositivos costosos. 

Utilizando una nube global distribuida en más de 150 centros de datos en seis continentes, la nube Zscaler inspecciona minuciosamente el tráfico TLS/SSL en busca de amenazas ocultas de ransomware sin caídas en el rendimiento, incluso si el ancho de banda del usuario aumenta drásticamente.

Sigue las conexiones fuera de la red

Zero Trust Exchange ofrece un sandboxing basado en IA e inspección TLS/SSL a los usuarios en cualquier lugar y en cualquier dispositivo. Cada conexión a través de cualquier red obtiene una protección idéntica para descubrir y frustrar ciberamenazas conocidas y desconocidas, manteniendo a su organización libre de infecciones de ransomware de paciente cero.

Este enfoque para prevenir el ransomware comienza con la protección de las conexiones de los usuarios. Los usuarios fuera de la red solo tienen que añadir Zscaler Client Connector, nuestro dinámico agente para puntos finales, a sus laptops o dispositivos móviles (con soporte para Android, iOS, macOS y Windows) para disfrutar de la protección de las mismas herramientas, el cumplimiento de las políticas y los controles de acceso que obtendrían en la sede central.