¿Qué es el ransomware de cifrado?
El ransomware cripto — también conocido como cripto-malware — es malware que cifra archivos en un dispositivo y exige un rescate para su recuperación. Las víctimas están incentivadas a pagar el rescate porque solo los ciberdelincuentes detrás del ataque conocen la clave de descifrado necesaria para recuperar sus datos.
Solicite una demostración Guía CISO para la prevención de ransomware
¿Cómo funciona el ransomware cripto?
Un ataque de ransomware es un proceso en varias etapas que abarca desde el acceso inicial hasta la exigencia de un rescate. Algunos de los pasos clave incluyen los siguientes:
Métodos de infección
Para cifrar archivos, el ransomware necesita acceso a los archivos en la máquina de la víctima. Algunos vectores de ataque comunes incluyen los siguientes:
- Emails de phishing: Los correos de phishing emplean ingeniería social para engañar al destinatario y que instale el malware. Los correos pueden tener archivos adjuntos infectados con malware o incluir enlaces maliciosos que apuntan a sitios web infectados.
- Sitios web maliciosos: Los sitios web pueden tener malware disponible para descargar. A menudo, esto implica un caballo de Troya, que es un malware que finge ser software legítimo pero que en realidad infecta la computadora del usuario.
- Cuentas comprometidas: Los operadores de ransomware también pueden desplegar malware usando cuentas de usuario comprometidas. Si se adivina o se vulnera una contraseña, el atacante puede iniciar sesión vía RDP o VPN para colocar su malware en sistemas corporativos.
Proceso de cifrado
La mayoría de ransomware emplea una combinación de algoritmos cifrado simétricos y asimétricos.
El cifrado simétrico es muy eficiente para el cifrado masivo. El ransomware lo emplea para cifrar archivos y negar el acceso a sus dueños. Se emplea cifrado asimétrico para proteger las claves de cifrado simétricas. Si la clave pública viene incluida con el malware, el ransomware puede cifrar y almacenar la clave de cifrado simétrica junto con los archivos cifrados. Los atacantes solo conservan una copia de la clave privada y pueden usarla para descifrar la clave simétrica una vez que la víctima pagó el rescate.
El proceso de cifrado del ransomware también evolucionó. Por ejemplo, algunas variantes de ransomware solo cifran parte de un archivo. Esto permite que el proceso de cifrado se realice más rápidamente —disminuyendo el riesgo de interrupciones— mientras que los archivos siguen siendo inutilizables.
Notas de rescate y demandas
Una vez completado el cifrado de archivos, el ransomware mostrará notas de rescate a la víctima. Estos suelen informar a la víctima de que fue infectada con ransomware y proporcionan información sobre cómo debe pagar el rescate.
Pago en criptomonedas
El ransomware cripto emplea criptomonedas para los pagos. Si la víctima decide pagar el rescate, comprará criptomonedas y la transferirá a la cuenta del atacante, cuya dirección probablemente esté incluida en la nota de rescate. Luego, el atacante debe proporcionar un descifrador que pueda usar para restaurar los archivos cifrados de la víctima.
Ejemplos de ransomware cripto
Surgieron muchos grupos de ciberdelincuencia que comenzaron a distribuir ransomware. Algunos de los grupos de ransomware más grandes actualmente incluyen LockBit, Alphv/BlackCat, CL0P, Black Basta, Play, Royal, 8Base, BianLian, Medusa y NoEscape.
Por qué se emplean las criptomonedas para pagos de rescates
Las criptomonedas se emplean para pagos de rescate por varias razones. La principal es que son pseudónimos y no están convertidos en miembro al sistema bancario central. Las cuentas de criptomonedas de los usuarios no están vinculadas a su identidad real a menos que pasen por un exchange que requiera Conoce a tu Cliente (KYC). Como resultado, puede ser difícil rastrear un pago con criptomoneda hasta su destinatario, protegiendo al atacante contra su detección.
Cómo prevenir ataques de ransomware con criptomonedas
Los ataques de malware en criptomonedas pueden ser devastadores para una organización. Algunas de las mejores prácticas para prevenir estos ataques incluyen las siguientes:
- Educación del usuario: Muchos ataques de ransomware se dirigen a los usuarios con ataques de phishing. La educación en ciberseguridad puede ayudar a los usuarios a identificar y evitar caer en estos ataques.
- Copias de seguridad de datos: Las operaciones de ransomware extorsionan pagos de rescate cifrando datos y haciéndolos inaccesibles para sus propietarios. La capacidad de restaurar desde copias de seguridad puede eliminar la necesidad de pagar el rescate.
- Parcheos: Algunas variantes de ransomware explotan software vulnerable para infectar computadoras. Realizar parches y actualizaciones regulares puede ayudar a solucionar estos problemas antes de que puedan ser explotados por malware.
- Autenticación fuerte: Algunos malware cripto emplean cuentas de usuario comprometidas para acceder e infectar sistemas corporativos. Para ayudar a gestionar este riesgo, implementa una autenticación fuerte de usuario — incluyendo autenticación de múltiples factores (MFA).
- Soluciones antiransomware: Las soluciones anti-ransomware pueden detectar y bloquear ransomware cripto antes de que lleguen a los sistemas de una organización. Esto ayuda a limitar el riesgo para el negocio y sus datos.
Evite ataques de ransomware con Check Point
El ransomware se convirtió en una amenaza principal para las compañías debido al potencial de pérdida de datos y pérdidas financieras significativas para una organización. Para saber más sobre cómo gestionar la exposición de tu organización a esta amenaza, consulta la Guía CISO para la Prevención de Ransomware.
Check Point’s Check Point Endpoint Security protects organizations against ransomware and other threats, including those outlined in the Cyber Security Report. To learn how Check Point Endpoint Security can help strengthen your organization’s endpoint security, register for a free demo today.
