ransomware es un malware diseñado para negar a un usuario u organización el acceso a archivos en su computadora. Al cifrar estos archivos y exigir un pago de rescate por la clave de descifrado, los ciberatacantes colocan a las organizaciones en una posición en la que pagar el rescate es la forma más fácil y económica de recuperar el acceso a sus archivos. Algunas variantes han agregado funcionalidades adicionales, como el robo de datos, para brindar un incentivo adicional a las víctimas de ransomware para que paguen el rescate.
El ransomware se ha convertido rápidamente en el más prominente y tipo visible de malware. Los recientes ataques de ransomware han afectado la capacidad de los hospitales para brindar servicios cruciales, han paralizado los servicios públicos en las ciudades y han causado daños importantes a varias organizaciones.
La moda moderna del ransomware comenzó con el brote de WannaCry en 2017. Este ataque a gran escala y muy publicitado demostró que los ataques de ransomware eran posibles y potencialmente rentables. Desde entonces, se han desarrollado y utilizado docenas de variantes de ransomware en diversos ataques.
The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.
In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.
In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.
Para tener éxito, el ransomware debe obtener acceso a un sistema de destino, cifrar los archivos allí y exigir un rescate a la víctima.
Si bien los detalles de implementación varían de una variante de ransomware a otra, todos comparten las mismas tres etapas principales.
El ransomware, como cualquier malware, puede acceder a los sistemas de una organización de diferentes formas. Sin embargo, los operadores de ransomware tienden a preferir algunos vectores de infección específicos.
Uno de ellos son los correos electrónicos de phishing. Un correo electrónico malicioso puede contener un enlace a un sitio web que aloja una descarga maliciosa o un archivo adjunto que tiene incorporada la funcionalidad de descarga. Si el destinatario del correo electrónico cae en la trampa del phishing, el ransomware se descarga y ejecuta en su computadora.
Otro vector de infección de ransomware popular aprovecha servicios como el Protocolo de escritorio remoto (RDP). Con RDP, un atacante que haya robado o adivinado las credenciales de inicio de sesión de un empleado puede usarlas para autenticarse y acceder de forma remota a una computadora dentro de la red empresarial. Con este acceso, el atacante puede descargar directamente el malware y ejecutarlo en la máquina bajo su control.
Otros pueden intentar infectar sistemas directamente, como WannaCry aprovechó la vulnerabilidad EternalBlue. La mayoría de las variantes de ransomware tienen múltiples vectores de infección.
Una vez que el ransomware ha obtenido acceso a un sistema, puede comenzar a cifrar sus archivos. Dado que la funcionalidad de cifrado está integrada en un sistema operativo, esto simplemente implica acceder a los archivos, cifrarlos con una clave controlada por el atacante y reemplazar los originales con las versiones cifradas. La mayoría de las variantes de ransomware son cautelosas al seleccionar los archivos que cifran para garantizar la estabilidad del sistema. Algunas variantes también tomarán medidas para eliminar copias de seguridad y copias de sombra de archivos para hacer más difícil la recuperación sin la clave de descifrado.
Una vez que se completa el cifrado de archivos, el ransomware está preparado para exigir un rescate. Las diferentes variantes de ransomware implementan esto de numerosas maneras, pero no es raro que se cambie el fondo de pantalla a una nota de rescate o se coloquen archivos de texto en cada directorio cifrado que contiene la nota de rescate. Normalmente, estas notas exigen una cantidad fija de criptomonedas a cambio de acceder a los archivos de la víctima. Si se paga el rescate, el operador del ransomware proporcionará una copia de la clave privada utilizada para proteger la clave de cifrado simétrica o una copia de la propia clave de cifrado simétrica. Esta información se puede ingresar en un programa de descifrado (también proporcionado por el ciberdelincuente) que puede utilizarla para revertir el cifrado y restaurar el acceso a los archivos del usuario.
Si bien estos tres pasos principales existen en todas las variantes de ransomware, diferentes ransomware pueden incluir diferentes implementaciones o pasos adicionales. Por ejemplo, las variantes de ransomware como Maze realizan escaneo de archivos, información de registro y robo de datos antes del cifrado de datos, y el ransomware WannaCry busca otros dispositivos vulnerables para infectarlos y cifrarlos.
Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:
Existen docenas de variantes de ransomware, cada una con sus propias características únicas. Sin embargo, algunos grupos de ransomware han sido más prolíficos y exitosos que otros, lo que los distingue del resto.
Ryuk es un ejemplo de una variante de ransomware muy específica. Por lo general, se entrega a través de correos electrónicos de phishing o mediante el uso de credenciales de usuario comprometidas para iniciar sesión en sistemas empresariales utilizando el Protocolo de escritorio remoto (RDP). Una vez que un sistema está infectado, Ryuk cifra ciertos tipos de archivos (evitando los cruciales para el funcionamiento de una computadora) y luego presenta una demanda de rescate.
Ryuk es conocido como uno de los tipos de ransomware más caros que existen. Ryuk exige que se lo saque promedio de más de $1 millón. Como resultado, los ciberdelincuentes detrás de Ryuk se centran principalmente en empresas que tienen los recursos necesarios para satisfacer sus demandas.
El Laberinto ransomware es famoso por ser la primera variante de ransomware que combinar cifrado de archivos y robo de datos. Cuando los objetivos comenzaron a negarse a pagar los rescate, Maze comenzó a recopilar datos confidenciales de las computadoras de las víctimas antes de cifrarlos. Si no se cumplieran las demandas de rescate, estos datos se expondrían públicamente o se venderían al mejor postor. El potencial de una costosa violación de datos se utilizó como incentivo adicional para pagar.
El grupo detrás del ransomware Maze ha oficialmente terminó sus operaciones. Sin embargo, esto no significa que se haya reducido la amenaza del ransomware. Algunas filiales de Maze han pasado a utilizar el ransomware Egregor y se cree que las variantes de Egregor, Maze y Sekhmet tienen una fuente común.
El grupo ReVil (también conocido como Sodinokibi) es otra variante de ransomware dirigida a grandes organizaciones.
REvil es una de las familias de ransomware más conocidas de la red. El grupo de ransomware, operado por el grupo REvil de habla rusa desde 2019, ha sido responsable de muchas violaciones importantes como ' Kaseya' y 'JBS'.
Ha competido con Ryuk durante los últimos años por el título de la variante de ransomware más cara. Se sabe que ReVil tiene exigió $800,000 pagos de rescate.
Si bien REvil comenzó como una variante tradicional de ransomware, ha evolucionado con el tiempo.
Están utilizando la técnica de doble extorsión para robar datos de empresas y al mismo tiempo cifrar los archivos. Esto significa que, además de exigir un rescate para descifrar los datos, los atacantes podrían amenazar con liberar los datos robados si no se realiza un segundo pago.
LockBit es un malware de cifrado de datos en funcionamiento desde septiembre de 2019 y un ransomware como servicio (RaaS) reciente. Esta pieza de ransomware se desarrolló para cifrar rápidamente grandes organizaciones como una forma de evitar que los dispositivos de seguridad y los equipos de TI/SOC lo detecten rápidamente.
En marzo de 2021, Microsoft lanzó parches para cuatro vulnerabilidades dentro de los servidores Microsoft Exchange. DearCry es una nueva variante de ransomware diseñada para aprovechar cuatro vulnerabilidades recientemente reveladas en Microsoft Exchange
El ransomware DearCry cifra ciertos tipos de archivos. Una vez finalizado el cifrado, DearCry mostrará un mensaje de rescate instruyendo a los usuarios a enviar un correo electrónico a los operadores de ransomware para aprender cómo descifrar sus archivos.
Lapsus$ es una banda de ransomware sudamericana que se ha relacionado con ataques cibernéticos contra algunos objetivos de alto perfil. La banda cibernética es conocida por su extorsión, amenazando con la liberación de información confidencial, si no se hacen demandas de sus víctimas. El grupo se ha jactado de irrumpir en Nvidia, Samsung, Ubisoft y otros. El grupo utiliza código fuente robado para disfrazar archivos de malware como confiables.
A successful ransomware attack can have various impacts on a business. Some of the most common risks include:
Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:
Una preparación adecuada puede reducir drásticamente el coste y el impacto de un ataque de ransomware. Adoptar las siguientes mejores prácticas puede reducir la exposición de una organización al ransomware y minimizar sus impactos:
Dado el alto costo potencial de una infección de ransomware, la prevención es la mejor estrategia de mitigación de ransomware. Esto se puede lograr reduciendo la superficie de ataque al abordar:
La necesidad de cifrar todos los archivos de un usuario significa que el ransomware tiene una huella digital única cuando se ejecuta en un sistema. Las soluciones anti-ransomware están diseñadas para identificar esas huellas digitales. Las características comunes de una buena soluciónransomware incluyen:
Un mensaje de rescate no es algo que nadie quiera ver en su computadora, ya que revela que una infección de ransomware tuvo éxito. En este punto, se pueden tomar algunas medidas para responder a una infección de ransomware activa, y la organización debe tomar la decisión de pagar o no el rescate.
Muchos ataques de ransomware exitosos solo se detectan después de que se completa el cifrado de datos y se muestra una nota de rescate en la pantalla de la computadora infectada. En este punto, es probable que los archivos cifrados sean irrecuperables, pero se deben tomar algunas medidas de inmediato:
La tecnología Anti-Ransomware de Check Point utiliza un motor especialmente diseñado que defiende contra las variantes de ransomware de día cero más sofisticadas y evasivas y recupera de forma segura datos cifrados, lo que garantiza la continuidad y la productividad del negocio. Nuestro equipo de investigación verifica la eficacia de esta tecnología todos los días y demuestra constantemente excelentes resultados en la identificación y mitigación de ataques.
Terminal Harmony, el producto líder de respuesta y prevención de terminales de Check Point, incluye tecnologíaransomware y brinda protección a los navegadores web y terminales, aprovechando las protecciones de red líderes en la industria de Check Point. El terminal Harmony ofrece prevención de amenazas y remediación completa y en tiempo real en todos los vectores de amenazas de malware, lo que permite a los empleados trabajar de forma segura sin importar dónde se encuentren, sin comprometer la productividad.