¿Qué es el ransomware?

ransomware es un malware diseñado para negar a un usuario u organización el acceso a archivos en su computadora. Al cifrar estos archivos y exigir un pago de rescate por la clave de descifrado, los ciberatacantes colocan a las organizaciones en una posición en la que pagar el rescate es la forma más fácil y económica de recuperar el acceso a sus archivos. Algunas variantes han agregado funcionalidades adicionales, como el robo de datos, para brindar un incentivo adicional a las víctimas de ransomware para que paguen el rescate.

El ransomware se ha convertido rápidamente en el más prominente y tipo visible de malware. Los recientes ataques de ransomware han afectado la capacidad de los hospitales para brindar servicios cruciales, han paralizado los servicios públicos en las ciudades y han causado daños importantes a varias organizaciones.

Ransomware Prevention CISO Guide Hable con un experto

Ataque de ransomware: ¿qué es y cómo funciona?

¿Por qué están surgiendo los ataques de ransomware?

La moda moderna del ransomware comenzó con el brote de WannaCry en 2017. Este ataque a gran escala y muy publicitado demostró que los ataques de ransomware eran posibles y potencialmente rentables. Desde entonces, se han desarrollado y utilizado docenas de variantes de ransomware en diversos ataques.

The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.

In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.

In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.

Cómo funciona el ransomware

Para tener éxito, el ransomware debe obtener acceso a un sistema de destino, cifrar los archivos allí y exigir un rescate a la víctima.
Si bien los detalles de implementación varían de una variante de ransomware a otra, todos comparten las mismas tres etapas principales.

  • Paso 1. Vectores de infección y distribución

El ransomware, como cualquier malware, puede acceder a los sistemas de una organización de diferentes formas. Sin embargo, los operadores de ransomware tienden a preferir algunos vectores de infección específicos.

Uno de ellos son los correos electrónicos de phishing. Un correo electrónico malicioso puede contener un enlace a un sitio web que aloja una descarga maliciosa o un archivo adjunto que tiene incorporada la funcionalidad de descarga. Si el destinatario del correo electrónico cae en la trampa del phishing, el ransomware se descarga y ejecuta en su computadora.

Otro vector de infección de ransomware popular aprovecha servicios como el Protocolo de escritorio remoto (RDP). Con RDP, un atacante que haya robado o adivinado las credenciales de inicio de sesión de un empleado puede usarlas para autenticarse y acceder de forma remota a una computadora dentro de la red empresarial. Con este acceso, el atacante puede descargar directamente el malware y ejecutarlo en la máquina bajo su control.

Otros pueden intentar infectar sistemas directamente, como WannaCry aprovechó la vulnerabilidad EternalBlue. La mayoría de las variantes de ransomware tienen múltiples vectores de infección.

  • Paso 2. Cifrado de datos

 Una vez que el ransomware ha obtenido acceso a un sistema, puede comenzar a cifrar sus archivos. Dado que la funcionalidad de cifrado está integrada en un sistema operativo, esto simplemente implica acceder a los archivos, cifrarlos con una clave controlada por el atacante y reemplazar los originales con las versiones cifradas. La mayoría de las variantes de ransomware son cautelosas al seleccionar los archivos que cifran para garantizar la estabilidad del sistema. Algunas variantes también tomarán medidas para eliminar copias de seguridad y copias de sombra de archivos para hacer más difícil la recuperación sin la clave de descifrado.

  • Paso 3. Demanda de rescate

Una vez que se completa el cifrado de archivos, el ransomware está preparado para exigir un rescate. Las diferentes variantes de ransomware implementan esto de numerosas maneras, pero no es raro que se cambie el fondo de pantalla a una nota de rescate o se coloquen archivos de texto en cada directorio cifrado que contiene la nota de rescate. Normalmente, estas notas exigen una cantidad fija de criptomonedas a cambio de acceder a los archivos de la víctima. Si se paga el rescate, el operador del ransomware proporcionará una copia de la clave privada utilizada para proteger la clave de cifrado simétrica o una copia de la propia clave de cifrado simétrica. Esta información se puede ingresar en un programa de descifrado (también proporcionado por el ciberdelincuente) que puede utilizarla para revertir el cifrado y restaurar el acceso a los archivos del usuario.

Si bien estos tres pasos principales existen en todas las variantes de ransomware, diferentes ransomware pueden incluir diferentes implementaciones o pasos adicionales. Por ejemplo, las variantes de ransomware como Maze realizan escaneo de archivos, información de registro y robo de datos antes del cifrado de datos, y el ransomware WannaCry busca otros dispositivos vulnerables para infectarlos y cifrarlos.

Types of Ransomware Attacks

Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:

  • Double Extortion: Double-extortion ransomware like Maze combines data encryption with data theft. This technique was developed in response to organizations refusing to pay ransoms and restoring from backups instead. By stealing an organization’s data as well, the cybercriminals could threaten to leak it if the victim doesn’t pay up.
  • Triple Extortion: Triple extortion ransomware adds a third extortion technique to double extortion. Often, this includes demanding a ransom from the victim’s customers or partners or performing a distributed denial-of-service (DDoS) attack against the company as well.
  • Locker Ransomware: Locker ransomware is ransomware that doesn’t encrypt the files on the victim’s machine. Instead, it locks the computer — rendering it unusable to the victim — until the ransom has been paid.
  • Crypto Ransomware: Crypto ransomware is another name for ransomware that underscores the fact that ransomware payments are commonly paid in cryptocurrency. The reason for this is that cryptocurrencies are digital currencies that are more difficult to track since they’re not managed by the traditional financial system.
  • Wiper: Wipers are a form of malware that is related to but distinct from ransomware. While they may use the same encryption techniques, the goal is to permanently deny access to the encrypted files, which may include deleting the only copy of the encryption key.
  • Ransomware as a Service (RaaS): RaaS is a malware distribution model in which ransomware gangs provide “affiliates” with access to their malware. These affiliates infect targets with the malware and split any ransom payments with the ransomware developers.
  • Data-Stealing Ransomware: Some ransomware variants have focused on data theft, abandoning data encryption entirely. One reason for this is that encryption can be time-consuming and easily detectable, providing an organization with an opportunity to terminate the infection and protect some files from encryption.

Variantes populares de ransomware

Existen docenas de variantes de ransomware, cada una con sus propias características únicas. Sin embargo, algunos grupos de ransomware han sido más prolíficos y exitosos que otros, lo que los distingue del resto.

1. Ryuk

Ryuk es un ejemplo de una variante de ransomware muy específica. Por lo general, se entrega a través de correos electrónicos de phishing o mediante el uso de credenciales de usuario comprometidas para iniciar sesión en sistemas empresariales utilizando el Protocolo de escritorio remoto (RDP). Una vez que un sistema está infectado, Ryuk cifra ciertos tipos de archivos (evitando los cruciales para el funcionamiento de una computadora) y luego presenta una demanda de rescate.

Ryuk es conocido como uno de los tipos de ransomware más caros que existen. Ryuk exige que se lo saque promedio de más de $1 millón. Como resultado, los ciberdelincuentes detrás de Ryuk se centran principalmente en empresas que tienen los recursos necesarios para satisfacer sus demandas.

2. Laberinto

El Laberinto ransomware es famoso por ser la primera variante de ransomware que combinar cifrado de archivos y robo de datos. Cuando los objetivos comenzaron a negarse a pagar los rescate, Maze comenzó a recopilar datos confidenciales de las computadoras de las víctimas antes de cifrarlos. Si no se cumplieran las demandas de rescate, estos datos se expondrían públicamente o se venderían al mejor postor. El potencial de una costosa violación de datos se utilizó como incentivo adicional para pagar.

El grupo detrás del ransomware Maze ha oficialmente terminó sus operaciones. Sin embargo, esto no significa que se haya reducido la amenaza del ransomware. Algunas filiales de Maze han pasado a utilizar el ransomware Egregor y se cree que las variantes de Egregor, Maze y Sekhmet tienen una fuente común.

3.ReViL (Sodinokibi)

El grupo ReVil (también conocido como Sodinokibi) es otra variante de ransomware dirigida a grandes organizaciones.

REvil es una de las familias de ransomware más conocidas de la red. El grupo de ransomware, operado por el grupo REvil de habla rusa desde 2019, ha sido responsable de muchas violaciones importantes como ' Kaseya' y 'JBS'.

Ha competido con Ryuk durante los últimos años por el título de la variante de ransomware más cara. Se sabe que ReVil tiene exigió $800,000 pagos de rescate.

Si bien REvil comenzó como una variante tradicional de ransomware, ha evolucionado con el tiempo.
Están utilizando la técnica de doble extorsión para robar datos de empresas y al mismo tiempo cifrar los archivos. Esto significa que, además de exigir un rescate para descifrar los datos, los atacantes podrían amenazar con liberar los datos robados si no se realiza un segundo pago.

4. Lockbit

LockBit es un malware de cifrado de datos en funcionamiento desde septiembre de 2019 y un ransomware como servicio (RaaS) reciente. Esta pieza de ransomware se desarrolló para cifrar rápidamente grandes organizaciones como una forma de evitar que los dispositivos de seguridad y los equipos de TI/SOC lo detecten rápidamente. 

5. DearCry

En marzo de 2021, Microsoft lanzó parches para cuatro vulnerabilidades dentro de los servidores Microsoft Exchange. DearCry es una nueva variante de ransomware diseñada para aprovechar cuatro vulnerabilidades recientemente reveladas en Microsoft Exchange

El ransomware DearCry cifra ciertos tipos de archivos. Una vez finalizado el cifrado, DearCry mostrará un mensaje de rescate instruyendo a los usuarios a enviar un correo electrónico a los operadores de ransomware para aprender cómo descifrar sus archivos.

6. Lapsus$

Lapsus$ es una banda de ransomware sudamericana que se ha relacionado con ataques cibernéticos contra algunos objetivos de alto perfil. La banda cibernética es conocida por su extorsión, amenazando con la liberación de información confidencial, si no se hacen demandas de sus víctimas. El grupo se ha jactado de irrumpir en Nvidia, Samsung, Ubisoft y otros. El grupo utiliza código fuente robado para disfrazar archivos de malware como confiables.

How Does Ransomware Affect Businesses?

A successful ransomware attack can have various impacts on a business. Some of the most common risks include:

  • Financial Losses: Ransomware attacks are designed to force their victims to pay a ransom. Additionally, companies can lose money due to the costs of remediating the infection, lost business, and potential legal fees.
  • Data Loss: Some ransomware attacks encrypt data as part of their extortion efforts. Often, this can result in data loss, even if the company pays the ransom and receives a decryptor.
  • Data Breach: Ransomware groups are increasingly pivoting to double or triple extortion attacks. These attacks incorporate data theft and potential exposure alongside data encryption.
  • Downtime: Ransomware encrypts critical data, and triple extortion attacks may incorporate DDoS attacks. Both of these have the potential to cause operational downtime for an organization.
  • Brand Damage: Ransomware attacks can harm an organization’s reputation with customers and partners. This is especially true if customer data is breached or they receive ransom demands as well.
  • Legal and Regulatory Penalties: Ransomware attacks may be enabled by security negligence and may include the breach of sensitive data. This may open up a company to lawsuits or penalties being levied by regulators.

Common Ransomware Target Industries

Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:

  • Education/Research: The Education/Research sector experienced 2046 ransomware attacks in 2023, a 12% drop from the previous year.
  • Government/Military: Government and military organizations were the second most targeted industry with 1598 attacks and a 4% decrease from 2022.
  • Healthcare: Healthcare experienced 1500 attacks and a 3% increase, which is particularly concerning due to the sensitive data and critical services that it provides.
  • Communications: Communications organizations experienced an 8% growth in 2023, totaling 1493 known attacks.
  • ISP/MSPs: ISPs and MSPs — a common ransomware target due to their potential for supply chain attacks — experienced 1286 ransomware attacks in 2023, a 6% decrease.

Cómo protegerse contra el ransomware

  • Utilice las mejores prácticas

Una preparación adecuada puede reducir drásticamente el coste y el impacto de un ataque de ransomware. Adoptar las siguientes mejores prácticas puede reducir la exposición de una organización al ransomware y minimizar sus impactos:

  1. Capacitación y educación sobre concientización cibernética : el ransomware a menudo se propaga mediante correos electrónicos de phishing. Es fundamental formar a los usuarios sobre cómo identificar y evitar posibles ataques de ransomware. Como muchos de los ciberataques actuales comienzan con un correo electrónico dirigido que ni siquiera contiene malware, sino sólo un mensaje diseñado socialmente que anima al usuario a hacer clic en un enlace malicioso, la educación del usuario a menudo se considera una de las defensas más importantes de una organización. puede desplegar.
  2. Copias de seguridad continuas de datos:  la definición de ransomware dice que es malware diseñado para que pagar un rescate sea la única forma de restaurar el acceso a los datos cifrados. Los respaldos automatizados y protegidos de datos permiten que una organización se recupere de un ataque con un mínimo de pérdida de datos y sin pagar un rescate. Mantener copias de seguridad regulares de los datos como un proceso de rutina es una práctica muy importante para evitar la pérdida de datos y para poder recuperarlos en caso de corrupción o mal funcionamiento del hardware del disco. Las copias de seguridad funcionales también pueden ayudar a las organizaciones a recuperarse de los ataques de ransomware.
  3. Aplicación de parches: La aplicación de parches es un componente crítico en la defensa contra ataques de ransomware, ya que los ciberdelincuentes a menudo buscarán los últimos exploits descubiertos en los parches disponibles y luego atacarán los sistemas que aún no están parcheados. Como tal, es fundamental que las organizaciones se aseguren de que todos los sistemas tengan aplicados los últimos parches, ya que esto reduce la cantidad de vulnerabilidades potenciales dentro de la empresa que un atacante puede explotar.
  4. Autenticación de usuario: acceder a servicios como RDP con credenciales de usuario robadas es una técnica favorita de los atacantes de ransomware. El uso de una autenticación de usuario segura puede hacer que sea más difícil para un atacante hacer uso de una contraseña adivinada o robada
  • Reducir la superficie de ataque

Dado el alto costo potencial de una infección de ransomware, la prevención es la mejor estrategia de mitigación de ransomware. Esto se puede lograr reduciendo la superficie de ataque al abordar:

  1. Mensajes de phishing
  2. Vulnerabilidad sin parchear
  3. Soluciones de acceso remoto
  4. malwaremóvil
  • Implementar una soluciónanti-ransomware

La necesidad de cifrar todos los archivos de un usuario significa que el ransomware tiene una huella digital única cuando se ejecuta en un sistema. Las soluciones anti-ransomware están diseñadas para identificar esas huellas digitales. Las características comunes de una buena soluciónransomware incluyen:

  • Detección de variantes amplias
  • Detección rápida
  • Restauración automática
  • Mecanismo de restauración que no se basa en herramientas integradas comunes (como 'Copia instantánea', que es el objetivo de algunas variantes de ransomware)

¿Cómo eliminar el ransomware?

Un mensaje de rescate no es algo que nadie quiera ver en su computadora, ya que revela que una infección de ransomware tuvo éxito. En este punto, se pueden tomar algunas medidas para responder a una infección de ransomware activa, y la organización debe tomar la decisión de pagar o no el rescate.

  • Cómo mitigar una infección activa de ransomware

Muchos ataques de ransomware exitosos solo se detectan después de que se completa el cifrado de datos y se muestra una nota de rescate en la pantalla de la computadora infectada. En este punto, es probable que los archivos cifrados sean irrecuperables, pero se deben tomar algunas medidas de inmediato:

  1. Poner en cuarentena la máquina: algunas variantes de ransomware intentarán propagarse a las unidades conectadas y a otras máquinas. Limite la propagación del malware eliminando el acceso a otros objetivos potenciales.
  2. Deje la computadora encendida: el cifrado de archivos puede hacer que una computadora sea inestable y apagarla puede provocar la pérdida de memoria volátil. Mantenga la computadora encendida para maximizar la probabilidad de recuperación.
  3. Cree una copia de seguridad: es posible descifrar archivos para algunas variantes de ransomware sin pagar el rescate. Haga una copia de los archivos cifrados en medios extraíbles en caso de que una solución esté disponible en el futuro o un esfuerzo fallido de descifrado dañe los archivos.
  4. Verifique si hay descifradores: consulte con el Proyecto No More Ransom para ver si hay un descifrador gratuito disponible. Si es así, ejecutarlo en una copia de los datos cifrados para ver si puede restaurar los archivos.
  5. Solicite ayuda: Las computadoras a veces almacenan copias de seguridad de los archivos almacenados en ellas. Un experto en ciencia forense digital puede recuperar estas copias si el malware no las ha eliminado.
  6. Limpiar y restaurar: restaure la máquina desde una copia de seguridad limpia o una instalación del sistema operativo. Esto garantiza que el malware se elimine por completo del dispositivo.

¿Cómo puede ayudar Check Point?

La tecnología Anti-Ransomware de Check Point utiliza un motor especialmente diseñado que defiende contra las variantes de ransomware de día cero más sofisticadas y evasivas y recupera de forma segura datos cifrados, lo que garantiza la continuidad y la productividad del negocio. Nuestro equipo de investigación verifica la eficacia de esta tecnología todos los días y demuestra constantemente excelentes resultados en la identificación y mitigación de ataques.

Terminal Harmony, el producto líder de respuesta y prevención de terminales de Check Point, incluye tecnologíaransomware y brinda protección a los navegadores web y terminales, aprovechando las protecciones de red líderes en la industria de Check Point. El terminal Harmony ofrece prevención de amenazas y remediación completa y en tiempo real en todos los vectores de amenazas de malware, lo que permite a los empleados trabajar de forma segura sin importar dónde se encuentren, sin comprometer la productividad.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.