Ataques de ransomware recientes

Una de las variantes de malware más famosas que existen hoy en día, el ransomware , que permite a un ciberdelincuente negarle a una víctima el acceso a sus archivos hasta que se haya pagado un rescate, se ha convertido en un foco importante tanto para los ciberdelincuentes como para los ciberdefensores.

El ransomware funciona mediante el uso de algoritmos de cifrado, que están diseñados para garantizar que solo alguien con acceso a la clave de descifrado pueda revertir la transformación aplicada a los datos cifrados y restaurar la versión original utilizable. La víctima está motivada a pagar un rescate por la pérdida de acceso a datos valiosos y, tras el pago del rescate, todo lo que el operador del ransomware debe hacer es proporcionar una breve clave de descifrado para restaurar el acceso a todos los datos cifrados.

Hable con un experto Más información

La evolución de los ataques de ransomware

La teoría detrás del ransomware es bastante simple y no varía mucho de una variante de ransomware a otra. Sin embargo, los detalles específicos de cómo los ciberdelincuentes utilizan el ransomware pueden ser muy diferentes para diferentes grupos y campañas de ataque, y han evolucionado significativamente en los últimos años.

Ataques de ransomware en 2021

Según Checkpoint Research, la cantidad de organizaciones afectadas por ransomware a nivel mundial se ha más que duplicado en la primera mitad de 2021 en comparación con 2020, y los sectores de atención médica y servicios públicos son los sectores más afectados desde principios de abril de 2021.

El éxito de la doble extorsión en 2020 ha sido evidente, particularmente desde el estallido de la pandemia de Covid-19. Si bien no todas las instancias y sus resultados son reportados y publicitados, las estadísticas recopiladas entre 2020 y 2021 ilustran la importancia del vector de asalto. El precio promedio del rescate ha aumentado un 171% en el último año, a casi $310,000.

Los ataques de ransomware que tuvieron lugar a finales de 2020 y principios de 2021 apuntan hacia una nueva cadena de ataques, esencialmente una ampliación del enfoque ransomware de doble extorsión, que incorpora una amenaza adicional y única al proceso: un ataque de triple extorsión.

Ataques famosos en 2021: pirateo de Microsoft Exchange, red Colonial Pipeline, ciudad de Tulsa, JBS Meat Company, Fujifilm

Ataques de ransomware en 2020

A finales de 2019 y principios de 2020, surgió una nueva tendencia en los ataques de ransomware. En lugar de limitarse a cifrar los archivos de la víctima, los autores de ransomware también comenzaron a robar datos confidenciales de sus objetivos. Las variantes de ransomware que roban datos de los usuarios incluyen Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet y Snatch.

Esta medida fue en respuesta a que las organizaciones se negaron a pagar las demandas de rescate después de ser víctimas de una infección de ransomware. Aunque el costo de remediar un ataque de ransomware suele ser mayor que el rescate exigido, las mejores prácticas dictan que no se deben pagar rescates, ya que permiten a los ciberdelincuentes continuar con sus operaciones y realizar ataques adicionales.

Al robar datos de las computadoras infectadas antes de cifrarlos, los operadores de ransomware podrían amenazar con exponer estos datos si la víctima se niega a pagar el rescate. Dependiendo del tipo de datos recopilados y filtrados, esto podría hacer que una organización pierda ventaja competitiva en el mercado o infrinja las leyes de protección de datos, como el Reglamento General de Protección de Datos (GDPR), por no proteger los datos del cliente que se le confían.

Ataques de ransomware en 2019

2019 fue famoso por ser el año en el que los operadores de ransomware cambiaron su enfoque hacia instituciones críticas. Solo en los primeros tres trimestres de 2019, más de 621 hospitales, escuelas y ciudades de Estados Unidos fueron víctimas de ataques de ransomware por parte de Ryuk y otras variantes de ransomware. Estos ataques tuvieron un precio estimado en cientos de millones de dólares y resultaron en que las ciudades no pudieran proporcionar servicios a sus residentes y que los hospitales se viesen obligados a cancelar procedimientos no esenciales para proporcionar cuidados críticos a los pacientes.

Este nuevo enfoque del ransomware aprovechó la importancia de los servicios que brindan estas organizaciones. A diferencia de algunas empresas, que podrían sufrir operaciones degradadas mientras se recuperaban de un ataque, las ciudades, las escuelas y los hospitales necesitaban restablecer las operaciones lo más rápido posible y, a menudo, tenían acceso a fondos de emergencia. Como resultado, los ataques de ransomware contra estas organizaciones a menudo tuvieron éxito y continúan ocurriendo.

1. Ryuk - enero de 2019

A diferencia de la mayoría de los ataques de ransomware dirigidos a personas y empresas aleatorias, el ransomware Ryuk fue un ataque muy dirigido. Los ciberdelincuentes detrás de esta operación se dirigieron a las víctimas cuyos negocios se verían perturbados en gran medida incluso por una pequeña cantidad de tiempo de inactividad.

Ryuk fue diseñado para cifrar los servidores de la compañía e interrumpir el negocio hasta que se pague el rescate en lugar de robar o comprometer los datos de una persona.

Los objetivos de Ryuk

Las víctimas objetivo incluyeron periódicos, incluidos todos los periódicos de Tribune, y una compañía de servicios de agua en Carolina del Norte. Los periódicos afectados tuvieron que producir una versión a escala más baja de las noticias diarias que no incluyera anuncios clasificados pagados.

Los detalles

Ryuk infectó los sistemas a través de un malware llamado TrickBot y un software de escritorio remoto. Después de bloquear el acceso a los servidores, Ryuk exigió entre 15 y 50 Bitcoins, que eran entre $100,000 y $500,000.

Además de deshabilitar servidores, infectar terminales y cifrar copias de seguridad, Ryuk deshabilitó la opción de restauración del sistema Windows SO para evitar que las víctimas se recuperaran del ataque.

Cuando se descubrió el malware, se crearon parches para frustrar el ataque, pero no funcionaron. En el momento en que los servidores volvieron a estar en línea, Ryuk comenzó a reinfectar toda la red de servidores.

Los expertos de McAfee sospechan que Ryuk se construyó utilizando código originado por un grupo de hackers norcoreanos que se llaman a sí mismos el Grupo Lazarus. Sin embargo, el ransomware requería que el idioma de la computadora estuviera configurado en ruso, bielorruso o ucraniano para poder ejecutarse.

2. PureLocker: activo a partir de 2020

Al igual que Ryuk, PureLocker fue diseñado para cifrar servidores enteros y exigir un rescate para restaurar el acceso. El malware ha sido diseñado específicamente para pasar desapercibido ocultando su comportamiento malicioso en entornos sandbox e imitando funciones normales. También se elimina solo después de que se ejecuta el código malicioso.

Los objetivos de PureLocker

PureLocker se dirigió a los servidores de grandes corporaciones que los atacantes creían que pagarían un rescate considerable.

Los detalles

Después de un análisis exhaustivo, los investigadores criptográficos de Intezer e IBM X-Force llamaron a este ransomware PureLocker porque está escrito en el lenguaje de programación PureBasic.

Escribir malware en PureBasic es inusual, pero les dio a los atacantes una gran ventaja: es difícil detectar software malicioso escrito en PureBasic. Los programas PureBasic también se utilizan fácilmente en una variedad de plataformas.

PureLocker todavía está siendo ejecutado por grandes organizaciones cibercriminales. Los expertos creen que PureLocker se vende como un servicio a organizaciones cibercriminales que tienen los conocimientos necesarios para apuntar a grandes empresas. Curiosamente, el ransomware como servicio (RaaS) es ahora una "cosa".

Los expertos en ciberseguridad no están seguros exactamente de cómo llega PureLocker a los servidores; Adoptar un enfoque de confianza cero para la seguridad de la red es la mejor manera de protegerse contra amenazas desconocidas.

3. Revil/ Sodinokibi - Abril de 2019

REvil es un malware de una cepa llamada GandCrab que no se ejecuta en Rusia, Siria ni otros países cercanos. Esto indica que su origen es de esa área.

Al igual que PureLocker, se cree que REvil es un ransomware como servicio y los expertos en seguridad han dicho que es uno de los peores casos de ransomware vistos en 2019.

¿Por qué Revil es tan malo? Con la mayoría de los ataques de ransomware, las personas pueden ignorar la demanda de rescate y reducir sus pérdidas. Sin embargo, quienes estaban detrás del ataque amenazaron con publicar y vender los datos confidenciales que cifraron si no se pagaba el rescate.

Los objetivos de Revil

En septiembre de 2019, Revil cerró al menos 22 pueblos pequeños en Texas. Tres meses después, en la víspera de Año Nuevo, Revil cerró Travelex, un proveedor de cambio de divisas del Reino Unido.

Cuando Travelex se fue, los intercambios aeroportuarios tenían que ir a la vieja escuela y crear documentos en papel para los intercambios de documentos. Los ciberdelincuentes exigieron un rescate de $6 millones, pero Travelex no confirmará ni negará el pago de esta suma.

Los detalles

REvil explota la vulnerabilidad en los servidores Oracle WebLogic y Pulse Connect Secure VPN.

4. Condado de Jefferson, Georgia - 1 de marzo de 2019

El 1 de marzo de 2019, un ransomware atacó el centro de despacho del 911 del condado de Jefferson y lo desconectó. Los miembros del personal de la cárcel del condado también perdieron la capacidad de abrir las puertas de las celdas de forma remota, y los oficiales de policía ya no pudieron recuperar los datos de las matrículas de sus computadoras portátiles.

Sin un sistema 911 que funcione, toda la ciudad quedó vulnerable a los efectos secundarios de este ataque de ransomware. Los despachadores no tuvieron acceso a las computadoras durante dos semanas.

El sistema de videoconferencia que permitía a los reclusos conectarse con los miembros de la familia también se apagó. Los guardias tenían que escoltar a los reclusos a las visitas familiares en persona, lo que aumentaba el riesgo para su seguridad.

La ciudad pagó el rescate de $400,000 y pudo restaurar sus sistemas.

5. RobinHood - 2019

El 10 de abril de 2019, la ciudad de Greenville, Carolina del Norte, fue atacada por un ransomware llamado RobinHood. Cuando la mayoría de los servidores de la ciudad se desconectaron, el equipo de TI de la ciudad desconectó los servidores restantes para mitigar el daño.

Este ataque no fue la primera vez que RobinHood hizo sus rondas. En mayo de 2019, la ciudad de Baltimore se vio muy afectada. La ciudad tuvo que gastar más de $10 millones para recuperarse de un ataque de RobinHood. Aunque el rescate fue de solo $76,000, a la ciudad le costó $4.6 millones recuperar datos y todos los sistemas de la ciudad no funcionaron durante un mes. La ciudad sufrió 18 millones de dólares en daños.

Ataques de ransomware en 2018

En 2018, el ransomware perdió popularidad a medida que el aumento del valor de las criptomonedas impulsó un aumento del criptojacking. El malware Cryptojacking está diseñado para infectar una computadora objetivo y utilizarla para realizar los pasos computacionales intensivos necesarios para "minar" Bitcoin y otras criptomonedas de prueba de trabajo (PoW) y recibir las recompensas asociadas con encontrar un bloque válido.

Sin embargo, esto no quiere decir que el ransomware haya estado completamente inactivo en 2018. En agosto de 2018, el ransomware Ryuk (una de las principales amenazas de ransomware en la actualidad) fue descubierto por primera vez “en estado salvaje”. La aparición de Ryuk fue parte de un cambio en la forma en que los operadores de ransomware ganaban dinero. Los ataques como WannaCry apuntaron a la cantidad por encima de la calidad, atacando a tantas víctimas como fuera posible y exigiendo un pequeño rescate de cada uno. Sin embargo, este enfoque no siempre fue rentable ya que la persona promedio carecía de los conocimientos para pagar un rescate en criptomonedas. Como resultado, los operadores de ransomware tuvieron que brindar una cantidad significativa de “servicio al cliente” para recibir sus pagos.

A partir de 2018, los operadores de ransomware se han vuelto más selectivos en la elección de sus objetivos. Al atacar empresas específicas, los ciberdelincuentes podrían aumentar la probabilidad de que los datos cifrados por su malware fueran valiosos y que su objetivo fuera capaz de pagar el rescate. Esto permitió a los operadores de ransomware exigir un precio más alto por víctima con una expectativa razonable de pago.

Ataques de ransomware en 2017

2017 fue el año en el que el ransomware realmente entró en la conciencia pública. Si bien el ransomware existe desde hace décadas, los ataques WannaCry y NotPetya de 2017 hicieron de este tipo de malware un nombre familiar. Estas variantes de ransomware también inspiraron a otros ciberdelincuentes y autores de malware a ingresar al espacio del ransomware.

WannaCry es un gusano ransomware que utiliza el exploit EternalBlue, desarrollado por la NSA, para propagarse de una computadora a otra. En un lapso de tres días, WannaCry logró infectar más de 200.000 computadoras y causar miles de millones en daños antes de que el ataque fuera terminado por un investigador de seguridad que apuntaba a su “interruptor de muerte” integrado.

NotPetya es un ejemplo de una variante famosa que en realidad no es ransomware en absoluto, sino más bien un malware de limpieza que se hace pasar por ransomware. Si bien exigía pagos de rescate a sus víctimas, el código del malware no tenía forma de proporcionar a los operadores del malware una clave de descifrado. Como no tenían la clave, no podían proporcionársela a sus víctimas, haciendo imposible la recuperación de archivos cifrados.

Protección contra ransomware

El ransomware ha demostrado ser una herramienta extremadamente eficaz para los ciberdelincuentes. La pérdida de acceso a sus datos ha motivado a muchas organizaciones a pagar grandes cantidades de dinero para recuperarlos. El éxito del ransomware significa que es poco probable que desaparezca como una amenaza para la ciberseguridad de las organizaciones. La protección contra este dañino malware requiere la implementación de una soluciónransomware especializada.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.