Imagina que estás trabajando en tu computadora de la empresa y recibes un correo electrónico de un remitente desconocido. El correo electrónico contenía un archivo adjunto que, sin pensarlo mucho, decidiste abrir.
Al abrir ese archivo adjunto, resulta que activaste un malware que se instaló en tu computadora. El programa cifró todos los archivos de la computadora, haciendo que fueran inaccesibles.
Para colmo, a los pocos minutos, recibes un mensaje en tu pantalla. El mensaje indica que todos tus archivos habían sido cifrados y que, para recuperarlos, tienes que pagar un rescate de 100.000 dólares.
En ese momento, te convertiste en la flamante víctima de un ransomware.
¿Qué es el ransomware?
Con esta pequeña historia, creo que te queda bastante claro, pero dejemos el concepto bien definido. El ransomware es un tipo de malware que bloquea el acceso a los datos o dispositivos de una víctima y exige un rescate a cambio de restaurar el acceso.
Origen del ransomware
El primer ransomware conocido fue llamado “AIDS Trojan” y apareció en 1989. Fue distribuido en disquetes (capaz ni has visto uno) a través de correo postal a usuarios de ordenadores de todo el mundo.
El AIDS Trojan cifraba los archivos de la víctima con un algoritmo simple y exigía el pago de 189 dólares en sellos postales a cambio de la clave de descifrado. El malware era relativamente ineficaz, pero marcó el comienzo de una nueva era de ataques cibernéticos.
En los años siguientes, el ransomware se desarrolló y se volvió más sofisticado. En 2005, apareció el ransomware conocido como “CryptoLocker”, que utilizaba un algoritmo de cifrado más avanzado y exigía el pago del rescate en Bitcoin. CryptoLocker fue un éxito financiero para los ciberdelincuentes, y su aparición provocó un aumento de los ataques de ransomware.
En 2017, apareció el ransomware conocido como “WannaCry”, que se propagó rápidamente a través de una vulnerabilidad en los sistemas Windows. WannaCry fue un ataque devastador que afectó a organizaciones de todo el mundo, y se calcula que generó pérdidas de miles de millones de dólares.
En los últimos años, el ransomware ha seguido evolucionando y se ha convertido en una de las principales amenazas cibernéticas. Los ciberdelincuentes utilizan cada vez más métodos sofisticados para distribuir el ransomware. ¿Quieres saber cuáles son? Sigue leyendo.
¿Cómo ganan acceso los ciberdelincuentes?
Los ciberdelincuentes utilizan una variedad de métodos para obtener acceso a los sistemas y redes de las organizaciones. Algunos de los métodos más comunes incluyen:
- Phishing: los ciberdelincuentes envían correos electrónicos fraudulentos que parecen legítimos para engañar a los usuarios y hacer que revelen información confidencial, como contraseñas o datos de inicio de sesión.
- Malware: los ciberdelincuentes utilizan software malicioso para infectar los sistemas de las víctimas y obtener acceso no autorizado.
- Explotación de vulnerabilidades: se buscan y aprovechan las vulnerabilidades en los sistemas y aplicaciones para obtener acceso.
- Fuerza bruta en servidores RDP: los ciberatacantes intentan adivinar contraseñas débiles o utilizar técnicas de fuerza bruta para obtener acceso a servidores de escritorio remoto (RDP).
- Credenciales robadas: se utilizan credenciales robadas, como contraseñas filtradas en brechas de seguridad, para obtener acceso a los sistemas de las víctimas.
Tipos de ransomware
Hay dos tipos principales de ransomware: ransomware de cifrado y ransomware de bloqueo.
Ransomware de cifrado
El ransomware de cifrado es el tipo más común de ransomware. Este tipo de malware cifra los archivos de la víctima y exige un rescate a cambio de la clave de descifrado. El ransomware de cifrado suele distribuirse a través de correo electrónico, descargas maliciosas o vulnerabilidades de seguridad.
Ransomware de bloqueo
El ransomware de bloqueo es menos común que el ransomware de cifrado. Este tipo de malware bloquea el acceso a los dispositivos o sistemas de la víctima. El ransomware de bloqueo suele distribuirse a través de correo electrónico, descargas maliciosas o vulnerabilidades de seguridad.
Además de estos dos tipos principales, existen otros tipos de ransomware, como:
Ransomware de doble extorsión
Este tipo de ransomware cifra los archivos de la víctima y también roba datos confidenciales, como números de tarjetas de crédito o contraseñas. Los ciberdelincuentes amenazan con publicar los datos confidenciales si la víctima no paga el rescate.
Ransomware de secuestro
Este tipo de ransomware secuestra los dispositivos o sistemas de la víctima y los controla a distancia. Los ciberdelincuentes pueden utilizar los dispositivos o sistemas secuestrados para realizar actividades ilegales, como el robo de datos o el ciberespionaje.
Ransomware de minería de criptomonedas
Este tipo de ransomware utiliza los recursos informáticos de la víctima para minar criptomonedas, como Bitcoin o Ethereum. Los ciberdelincuentes pueden utilizar las criptomonedas generadas para financiar sus actividades delictivas.
Hablemos de uno de los más temidos: ransomware de doble extorsión
Uno de los tipos más temidos de ransomware es el ataque de doble extorsión, en el cual los ciberdelincuentes no sólo cifran los datos de la víctima, sino que también los descargan y amenazan con publicarlos si no se paga un rescate.
Presta atención a las siguientes líneas, porque te explicaremos en detalle qué sucede durante un ataque de doble extorsión, cómo los ciberdelincuentes obtienen acceso a los sistemas de las víctimas y qué medidas se pueden tomar para prevenir este tipo de ataques.
Secuencia del ransomware de doble extorsión
El ataque de doble extorsión sigue una secuencia de ataque similar a la del ransomware tradicional, pero con dos tácticas distintas de extorsión. A continuación, se muestra la secuencia de ataque:
1. Acceso inicial: en esta fase, el ciberatacante logra infiltrarse en los sistemas de un usuario u organización utilizando alguno de los métodos mencionados anteriormente.
2. Reconocimiento de red y movimiento lateral: una vez dentro de la red, explora el entorno de seguridad para evitar ser detectado. Una vez que tiene acceso a diferentes recursos, el ciberatacante se mueve lateralmente dentro de la red.
3. Extracción de datos: en esta etapa, copia los datos de la víctima sin cifrarlos y los guarda en su propia red de almacenamiento. En este punto, la víctima aún no es consciente de que sus datos se han visto comprometidos.
4. Despliegue del ransomware: el ciberdelincuente despliega el ransomware en los sistemas de la víctima y cifra los datos. Una vez que los datos están cifrados, la víctima recibe una notificación exigiendo el pago de un rescate para recuperar sus datos y que, además, no sean expuestos públicamente.
5. Ataque de denegación de servicio distribuido (DDoS): en este punto, el ataque está en pleno apogeo. El ciberdelincuente notifica a la víctima sobre el ataque a sus sistemas y le proporciona instrucciones para pagar el rescate y recuperar sus datos.
Esta secuencia de ataque hace que el ransomware de doble extorsión sea una de las amenazas más temidas en la ciberseguridad.
Ejemplos recientes de ransomware
A lo largo de los últimos años, ha habido varios casos de ataques que han tenido un impacto significativo en las organizaciones y en la sociedad en general. Algunos de los casos más destacados incluyen:
1. Ataque a PAMI: En agosto de 2023, PAMI, una obra social estatal argentina que da servicio a diferentes sectores sociales, fue víctima de un ataque de phishing perpetrado por el grupo Rhysida. Los ciberdelincuentes pidieron más de 700 mil dólares para no publicar la información sensible obtenida en el ataque, mientras realizaban un cifrado de datos de los sistemas. Esto originó una denegación de servicio, teniendo que aumentar la cantidad de personal especializado para atender a afiliados intentando utilizar el sistema que estuvo caído por varias horas.
2. Ataque a Boeing: En el mismo año pero más recientemente, el grupo de ransomware Lockbit, con incidentes desde 2019, atacó el sistema de la famosa compañía de aviones Boeing y exigió un rescate de millones de dólares. Al rehusarse a pagar el rescate, en noviembre de 2023 se publicaron 50GB de datos sensibles.
3. Ataque a MGM Resorts: En Septiembre de 2023, el grupo de ransomware Scattered Spider atacó la red de MGM Resorts, quienes manejan casinos y hoteles en Las Vegas. Las víctimas calcularon que los daños se elevaron a más de 100 millones de dólares.
4. Ataque a GTD: este ransomware fue perpetrado el 23 de octubre de 2023. El ataque afectó a la plataforma de Infraestructura como Servicio (IaaS) de la empresa, lo que provocó la interrupción de los servicios de data center, telefonía, VPN y conexión a internet de más de 3000 clientes en Chile y en menor medida Perú. Fue ejecutado también por Lockbit. Los ciberdelincuentes pidieron 10 millones de dólares en bitcoins como recompensa.
Estos son solo algunos ejemplos de los numerosos casos de ataques que han ocurrido recientemente. Estos ataques demuestran la creciente sofisticación y el impacto devastador que pueden tener en las organizaciones.
Cómo prevenir ataques de ransomware
Los ataques de ransomware pueden ser devastadores para las organizaciones, pero hay medidas que se pueden tomar para protegerse.
Aquí te dejo algunas recomendaciones clave:
1. Adoptar una política de seguridad de confianza cero: esta política implica que ningún usuario o aplicación debe ser considerado confiable por defecto. Todo se considera hostil hasta que se haya autenticado y autorizado. El acceso se otorga en función de la identidad del usuario y el contexto, y solo a un conjunto mínimo de recursos.
2. Minimizar la superficie de ataque: hacer que los usuarios y las aplicaciones sean invisibles en Internet mediante el uso de un broker basado en proxy. Si las aplicaciones no pueden ser descubiertas, no hay superficie de ataque que explotar.
3. Eliminar el movimiento lateral: los ciberdelincuentes solo pueden cifrar o robar datos que pueden ver. Las técnicas de microsegmentación reducen la exposición de datos y, por lo tanto, minimizan el daño.
4. Inspeccionar todo el tráfico: Inspeccionar todo el tráfico, tanto cifrado como sin cifrar, que entra y sale de la organización. Esto elimina los puntos ciegos y maximiza las posibilidades de mantener a los ciberdelincuentes fuera y los datos sensibles dentro.
Además de estas medidas, también es importante mantener el software y los sistemas actualizados, implementar políticas de seguridad consistentes, realizar capacitación regular de concientización sobre seguridad y tener un plan de respuesta en caso de un ataque.
En Hackmetrix, somos expertos en Ethical Hacking y la implementación de política de seguridad para blindarte contra este tipo de eventos, que pueden destruir la reputación y estado financiero de una organización. Si necesitas conversar sobre el tema o aclarar alguna dudas, haz clic en el botón de abajo y entra en contacto con nuestro equipo.
