Los diferentes tipos de ransomware

La creciente marea de ataques de ransomware

El ransomware existe desde hace décadas, pero, en los últimos años, la amenaza del ransomware ha aumentado drásticamente. El brote de ransomware WannaCry en 2017 demostró que el ransomware era un vector de ataque rentable, y la creación de criptomonedas como Bitcoin facilitó a los atacantes exigir y recibir pagos de rescate.

La pandemia también contribuyó al aumento del ransomware, ya que los ciberdelincuentes aprovecharon el aumento del trabajo remoto y la creciente importancia de las organizaciones sanitarias. A medida que el trabajo remoto se convierte en parte de lo habitual, la pandemia de ransomware continúa creciendo.

Comprender la amenaza del ransomware

El ransomware es una amenaza en evolución para la seguridad corporativa. Las campañas de ransomware originales eran relativamente simples. El malware se entregó por correo electrónico o mediante la explotación de una vulnerabilidad de software y archivos cifrados en las máquinas infectadas. Si se pagó el rescate, los atacantes proporcionaron un software de descifrado que permitió a la víctima restaurar las operaciones normales.

En los últimos años, las campañas de ransomware han evolucionado rápidamente. Un cambio importante es en los vectores de infección utilizados. El ransomware ahora se dirige principalmente a soluciones de acceso remoto, explotando la vulnerabilidad de VPN o utilizando credenciales de empleados comprometidas para iniciar sesión a través de RDP.

Las técnicas utilizadas por los operadores de ransomware para obligar a las víctimas a pagar el rescate también han cambiado. La capacidad de restaurar a partir de copias de seguridad neutraliza el impacto del cifrado de datos, por lo que el ransomware también se ha extendido al robo de datos. Los operadores de ransomware modernos amenazan con filtrar datos robados si la víctima y, en algunos casos, sus clientes no pagan el rescate. Algunos grupos de ransomware también utilizan la amenaza de ataques de denegación de servicio distribuido (DDoS) como incentivo para satisfacer sus demandas.

Finalmente, la amenaza del ransomware ha evolucionado debido a la especialización de roles y la creación del modelo de ataque Ransomware como servicio (RaaS) . En lugar de que un solo grupo desarrolle malware, infecte organizaciones y cobre rescates, los autores de ransomware ahora distribuyen su malware a "afiliados" para que lo utilicen en sus ataques. RaaS proporciona a los afiliados acceso a malware avanzado y permite a los autores de ransomware escalar sus campañas, aumentando la amenaza de ransomware.

Principales variantes de ransomware

El éxito del ransomware ha llevado a muchos grupos de ciberdelincuentes diferentes a desarrollar sus propias variantes. Algunas de las variantes de ransomware más prolíficas y famosas incluyen:

• Mal: REvil, también conocido como Sodinokibi, era famoso por ser una de las variantes de ransomware con mayores exigencias. Mal cesó repentinamente las operaciones en julio de 2021 después de un famoso ataque en Kaseya.
• LockBit: LockBit ransomware es una variante de RaaS que surgió por primera vez en septiembre de 2019, cuando se llamó ABCD ransomware (debido a su formato .abcd extensión de archivo). En julio de 2021, LockBit infectó a Accenture, robando datos internos y cifrando servidores que luego fueron restaurados a partir de copias de seguridad. WannaCry: WannaCry es la variante de ransomware que inició el reciente aumento de ataques de ransomware. La variante original de WannaCry usaba EternalBlue, un exploit desarrollado por la NSA filtrado por ShadowBrokers, para propagarse a través de versiones vulnerables de pyme de Windows.
• Conti : Conti es un grupo de ransomware como servicio (RaaS), que permite a sus afiliados alquilar acceso a la infraestructura de TI para lanzar ataques. Los expertos de la industria han dicho que Conti tiene su sede en Rusia y puede tener vínculos con la inteligencia rusa.
• Ryuk: Ryuk es una variante de ransomware muy específica que exige altos rescates a sus víctimas. En julio de 2021, el pago promedio de rescate de Ryuk fue de $691,800.
• CryptoLocker: CryptoLocker es una de las primeras variantes de ransomware que operó principalmente desde septiembre de 2013 hasta mayo de 2014. Operación Tovar, que derribó la botnet Gameover ZeUS, Eliminó en gran medida esta variante de ransomware.
• Peta: Petya es una familia de variantes de ransomware. A diferencia de la mayoría de los ransomware, estas variantes cifran el Master Boot Record (MBR) en lugar de archivos individuales.
• Locky: Locky es una variante de ransomware que comenzó a propagarse por primera vez en 2016. Fue utilizado por varias bandas de ciberdelincuentes diferentes e inspiró otras variantes de ransomware.
• Conejo malo: Bad Rabbit fue una variante de ransomware de corta duración que atribuido a BlackEnergy, los fabricantes de NotPetya. A diferencia de NotPetya, que era un limpiador disfrazado de ransomware, pagar el rescate de Bad Rabbit permitió la recuperación de los archivos cifrados.
• Lado oscuro: DarkSide es un grupo de ransomware ya desaparecido, más famoso por su ataque a Colonial Pipeline en mayo de 2021. Ahora se cree que el grupo opera bajo el nombre BlackMatter.
• Querido Cry: DearCry es una variante de ransomware desarrollada por el grupo HAFNIUM para explotar la vulnerabilidad de Microsoft Exchange reportada en marzo de 2021.

Protéjase contra el ransomware con Check Point

La amplia variedad de variantes de ransomware y vectores de ataque puede dificultar defenderse contra y eliminarlos. Es posible que protegerse contra un vector de ataque de ransomware no proporcione seguridad contra otro.

Protección Harmony Endpoint ofrece capacidades de detección y prevención de ransomware líderes en el mercado según la Evaluación MITRE Ingeniería ATT&CK. Obtenga más información sobre la pandemia de ransomware y otras tendencias de amenazas cibernéticas en el Informe de tendencias ciberataque 2021. También es bienvenido a regístrate para una prueba gratuita para ver usted mismo las capacidades de prevención de ransomware de Harmony Endpoint.