¿Qué es el ransomware?

Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Al realizar respaldos de datos regulares o continuos, una organización podía limitar los costos de estos tipos de ataques de ransomware y, a menudo, evitar el pago del rescate exigido.

En los últimos años, los ataques de ransomware evolucionaron para incluir tácticas de doble y triple exposición que aumentan considerablemente la apuesta. Incluso las víctimas que mantienen rigurosamente una copia de seguridad de sus datos o pagan el rescate inicial corren peligro.

Los ataques de doble extorsión agregan la amenaza de robar los datos de la víctima y filtrarlos en línea. Los ataques de triple extorsión agregan la amenaza de emplear los datos robados para atacar a los clientes o socios comerciales de la víctima.

El ransomware es uno de los tipos más comunes de software malicioso y los ataques de ransomware pueden costar a las organizaciones afectadas millones de dólares.

El 20% de todos los ciberataques registrados por el IBM ® X-Force ® Threat Intelligence Index en 2023 involucraron ransomware. Y estos ataques se mueven rápidamente. Cuando los hackers obtienen acceso a una red, tardan menos de cuatro días en implementar el ransomware. Esta velocidad da a las organizaciones poco tiempo para detectar y evitar posibles ataques.

Las víctimas de ransomware y los negociadores son reacios a revelar los pagos de rescate, pero los actores de amenazas a menudo exigen montos de siete y ocho cifras. Además, los pagos de rescate son solo parte del costo total de una infección por ransomware. Según el informe de IBM Costo de una filtración de datos, el costo promedio de una filtración de ransomware es de USD 5.68 millones, sin incluir los pagos de rescate.

Dicho esto, los equipos de ciberseguridad son cada vez más expertos en combatir el ransomware. El X-Force Threat Intelligence Index encontró que las infecciones de ransomware disminuyeron un 11.5% entre 2022 y 2023, probablemente debido a las mejoras en la detección y prevención de amenazas.

Hay dos tipos generales de ransomware. El tipo más común, llamado ransomware de cifrado o ransomware criptográfico, mantiene como pie los datos de la víctima mediante cifrado. Luego, el atacante exige un rescate a cambio de proporcionar la clave de cifrado necesaria para descifrar los datos.

La forma menos común de ransomware, llamada ransomware sin cifrar o ransomware con bloqueo de pantalla, bloquea todo el dispositivo de la víctima, generalmente bloqueando el acceso al sistema operativo. En lugar de arrancar como de costumbre, el dispositivo muestra una pantalla con la demanda de rescate.

Estos dos tipos generales se dividen en estas subcategorías:

Leakware o doxware son ransomware que roba o exfiltra datos confidenciales y amenaza con publicarlos. Mientras que las formas anteriores de leakware o doxware a menudo robaban datos sin cifrarlos, las variantes actuales suelen hacer.

El ransomware móvil incluye todo el ransomware que afecta a los dispositivos móviles. Entregado a través de aplicaciones maliciosas o descargas no autorizadas, la mayoría de los ransomware móviles son ransomware sin cifrado. Los hackers prefieren los bloqueadores de pantalla para los ataques móviles porque las copias de seguridad automatizadas de datos en la nube, estándar en muchos dispositivos móviles, facilitan la reversión de los ataques de cifrado.

Los wipers, o ransomware destructivo, amenazan a destruir los datos si la víctima no paga el rescate. En algunos casos, el ransomware destruye los datos incluso si la víctima paga. A menudo este último tipo de borrado de datos lo despliegan actores de estados-nación o hacktivistas en lugar de delincuentes cibernéticos.

Scareware es exactamente lo que parece: un ransomware que intenta asustar a los usuarios para que paguen un rescate. El scareware puede hacerse pasar por un mensaje de un organismo encargado de hacer cumplir la ley, acusando a la víctima de un delito y exigiendo una multa. Alternativamente, podría falsificar una alerta de infección de virus legítima, alentando a la víctima a comprar ransomware disfrazado de software antivirus.

A veces, el scareware es el ransomware, que cifra los datos o bloquea el dispositivo. En otros casos, es el vector del ransomware, que no cifra nada más que obliga a la víctima a descargar ransomware.

Los ataques de ransomware pueden usar varios métodos o vectores para infectar una red o dispositivo. Algunos de los vectores de infección de ransomware más destacados son:

Los ataques de ingeniería social engañan a las víctimas para que descarguen y ejecuten archivos ejecutables que resultan ser ransomware. Por ejemplo, un correo electrónico de phishing puede contener un archivo adjunto malicioso disfrazado de .pdf de aspecto inofensivo, documento de Microsoft Word u otro archivo.

Los ataques de ingeniería social también pueden atraer a los usuarios para que visiten un sitio web malicioso o escaneen códigos QR maliciosos que pasan el ransomware a través del navegador sitio web del usuario.

Los delincuentes cibernéticos a menudo explotan las vulnerabilidades existentes para inyectar código malicioso en un dispositivo o red.

Las vulnerabilidades de día cero, que pueden ser vulnerabilidades desconocidas para la comunidad de seguridad o vulnerabilidades identificadas pero sin parche, suponen una amenaza particular. Algunos grupos delincuentes de ransomware compran información sobre fallas de día cero de otros hackers para planificar sus ataques. Los hackers también emplearon eficazmente vulnerabilidades parchadas como vectores de ataque, tal como ocurrió en el ataque WannaCry de 2017.

Los delincuentes cibernéticos pueden robar las credenciales de los usuarios autorizados, comprarlas en el dark web o desbaratarlas mediante ataques de fuerza bruta. Luego, utilizan estas credenciales para iniciar sesión en una red o computadora y desplegar el ransomware directamente.

El protocolo de escritorio remoto (RDP), un protocolo propietario de Microsoft que permite a los usuarios acceder a un equipo de forma remota, es un objetivo popular de robo de credenciales entre los atacantes de ransomware.

Los hackers suelen utilizar malware desarrollado para otros ataques para entregar ransomware a un dispositivo. Los actores de amenazas utilizaron el troyano Trickbot, originalmente diseñado para robar credenciales bancarias, para propagar la variante de ransomware Conti a lo largo de 2021.

Los hackers pueden usar sitios web para pasar ransomware a dispositivos sin el conocimiento de los usuarios. Los kits de explotación utilizan sitios web comprometidos para escanear los navegadores de los visitantes en busca de vulnerabilidades de aplicaciones web que puedan utilizar para inyectar ransomware en un dispositivo.

La publicidad malicios—anuncios digitales legítimos que los hackers han puesto en riesgo— también puede transmitir ransomware a los dispositivos, incluso si el usuario no hace clic en el anuncio.

Los ciberdelincuentes no necesariamente necesitan desarrollar su propio ransomware para explotar estos vectores. Algunos desarrolladores de ransomware comparten su código de malware con los ciberdelincuentes a través de acuerdos de ransomware como servicio (RaaS).

El delincuente cibernético, o "afiliado", utiliza el código para llevar a cabo un ataque y dividir el pago de rescate con el desarrollador Es una relación mutuamente beneficiosa. Los afiliados pueden beneficiarse de la extorsión sin tener que desarrollar su propio malware, y los desarrolladores pueden aumentar sus ganancias sin lanzar más ciberataques.

Los distribuidores de ransomware pueden vender ransomware a través de mercados digitales en la dark web. También pueden reclutar afiliados directamente a través de foros en línea o vías similares. Los grandes grupos de ransomware han invertido importantes sumas de dinero en esfuerzos de reclutamiento para atraer afiliados.

Un ataque de ransomware suele pasar por estas etapas.

Hasta la fecha, los investigadores de ciberseguridad identificaron miles de variantes o “familias” distintas de ransomware, cepas únicas con sus propias firmas de código y funciones.

Varias cepas de ransomware son especialmente notables por el alcance de su destrucción, cómo influyeron en el desarrollo del ransomware o las amenazas que representan en la actualidad.

Aparecido por primera vez en septiembre de 2013, CryptoLocker es ampliamente conocido como el inicio de la era moderna del ransomware.

Propagado por medio de una botnet (una red de computadoras secuestradas), CryptoLocker fue una de las primeras familias de ransomware en cifrar fuertemente los archivos de los usuarios Se estima que sus extorsiones sumaron tres millones de dólares antes de que un esfuerzo internacional de aplicación de la ley la cerrara en 2014.

El éxito de CryptoLocker generó numerosos imitadores y allanó el camino para variantes como WannaCry, Ryuk y Petya.

El primer criptogusano de gran repercusión -un ransomware que puede propagar a otros dispositivos en una red-, WannaCry, atacó a más de 200 000 computadoras en 150 países. Las computadoras afectadas eran vulnerables porque los administradores no habían aplicado parches a la vulnerabilidad de EternalBlue Microsoft Windows.

Además de cifrar los datos confidenciales, el ransomware WannaCry amenazaba con borrar los archivos si las víctimas no enviaban el pago en un plazo de siete días. Sigue siendo uno de los mayores ataques de ransomware hasta la fecha, con costos estimados de hasta cuatro mil millones de dólares.

A diferencia de otros ransomware criptográficos, Petya cifra la tabla del sistema de archivos en lugar de los archivos individuales, lo que implica que el equipo infectado no puede iniciar Windows.

NotPetya, una versión muy modificada, se utilizó para llevar a cabo un ciberataque a gran escala, principalmente contra Ucrania, en 2017. NotPetya era un limpiaparabrisas incapaz de desbloquear sistemas incluso después de que las víctimas pagaran.

Visto por primera vez en 2018, Ryuk popularizó los ataques de "ransomware de caza mayor" contra objetivos específicos de alto valor, con demandas de rescate que promedian más de un millones de dólares. Ryuk puede localizar y desactivar los archivos de copia de seguridad y las características de restauración del sistema. En 2021 apareció una nueva cepa con capacidades de criptogusanos.

Dirigido por un grupo que se sospecha que opera desde Rusia, DarkSide es la variante de ransomware que atacó el Oleoducto Colonial el 7 de mayo de 2021. En lo que muchos consideran el peor ciberataque contra una infraestructura crítica estadounidense hasta la fecha, DarkSide cerró temporalmente el oleoducto que suministra el 45% del combustible de la Costa Este.

Además de realizar ataques directos, el grupo DarkSide también licencia su ransomware a través de acuerdos RaaS.

Locky es un ransomware criptográfico con un método distinto de infección: utiliza macros ocultas en archivos adjuntos de correo electrónico (archivos de Microsoft Word) disfrazados de facturas legítimas. Cuando un usuario descarga y abre el documento de Microsoft Word, las macros maliciosas descargan secretamente la carga útil del ransomware en el dispositivo del usuario.

REvil, también conocido como Sodin o Sodinokibi, ayudó a popularizar el enfoque RaaS para la distribución de ransomware.

Conocido por su uso la caza mayor y los ataques de doble extorsión, REvil estuvo detrás de los ataques de 2021 contra JBS USA USA y Kaseya Limited. JBS pagó un rescate de 11 millones de dólares después de que los hackers interrumpieran toda su operación de procesamiento de carne de res en Estados Unidos. Un tiempo de inactividad significativo afectó a más de 1000 clientes de software de Kaseya.

El Servicio Federal de Seguridad de Rusia informó que había desmantelado REvil y acusado a varios de sus miembros a principios de 2022.

Observado por primera vez en 2020, la pandilla Conti operaba un amplio esquema RaaS en el que pagaba a los hackers un salario regular para usar su ransomware. Conti empleó una forma única de doble extorsión en la que la pandilla amenazaba con vender el acceso a la red de una víctima a otros hackers si la víctima no pagaba.

Conti se disolvió después de que se filtraran los registros de chat internos de la pandilla en 2022, pero muchos exmiembros siguen activos en el mundo de la ciberdelincuencia. Según el X-Force Threat Intelligence Index, los asociados únicos de Conti se han vinculado a algunas de las variantes de ransomware más difundidas en la actualidad, como BlackBasta, Royal y Zeon.

Una de las variantes de ransomware más comunes en 2023 según el X-Force Threat Intelligence Index, LockBit se distingue por el comportamiento profesional de sus desarrolladores. El grupo LockBit se ha hecho conocido por adquirir otras cepas de malware de manera similar a como las empresas legítimas adquieren otras compañías.

Si bien las fuerzas del orden incautaron algunos de los sitios web de LockBit en febrero de 2024 y el gobierno de Estados Unidos impuso sanciones a uno de los principales líderes de la pandilla, LockBit continúa atacando a las víctimas. 

Las peticiones de rescate varían mucho y muchas víctimas optan por no hacer público cuánto pagaron, por lo que es difícil determinar una cantidad media de pago de rescate. Dicho esto, la mayoría de las estimaciones lo sitúan entre seis y siete cifras. Los atacantes exigieron el pago de rescates de hasta 80 millones de dólares, según la Guía definitiva del ransomwarede IBM .

Es importante destacar que la proporción de víctimas que pagan algún rescate disminuyó significativamente en los últimos años. Según la compañía de respuesta a incidentes de extorsión cibernética Coveware, solo el 37 % de las víctimas pagaron un rescate en 2023, en comparación con el 70 % en 2020.¹

Los expertos apuntan a una mejor preparación frente a la ciberdelincuencia -incluida una mayor inversión en copias de seguridad de datos, planes de respuesta a incidentes y tecnología de prevención y detección de amenazas- como posible motor de este cambio.

Las fuerzas de seguridad federales de Estados Unidos desaconsejan unánimemente a las víctimas de ransomware que paguen las peticiones de rescate. Según la National Cyber Investigative Joint Task Force (NCIJTF), una coalición de 20 organismos federales estadounidenses encargados de investigar las ciberamenazas:

"El FBI no alienta el pago de un rescate a los criminales. Pagar un rescate puede animar a los adversarios a atacar más organizaciones así como alentar a otros delincuentes a participar en la distribución del ransomware o financiar actividades ilícitas. Pagar el rescate tampoco garantiza que se recuperarán los archivos de una víctima".

Las agencias encargadas de hacer cumplir la ley recomiendan que las víctimas de ransomware informen los ataques a las autoridades correspondientes, como el Centro de Denuncias de Delitos en Internet (IC3) del FBI, antes de pagar un rescate.

Algunas víctimas de ataques de ransomware tienen la obligación legal de informar sobre infecciones de ransomware independientemente de si pagan un rescate. Por ejemplo, el cumplimiento de HIPAA generalmente requiere que las entidades de atención médica informen cualquier violación de datos, incluidos los ataques de ransomware, al Departamento de Salud y Servicios Humanos.

En ciertas circunstancias, el pago de un rescate puede ser ilegal.

La Oficina de Control de Activos Extranjeros (OFAC) de EE. UU. declaró que pagar un rescate a atacantes de países bajo sanciones económicas de Estados Unidos, como Corea del Norte o Irán, viola las regulaciones de la OFAC. Los infractores pueden enfrentar sanciones civiles, multas o cargos penales.

Algunos estados de Estados Unidos, como Florida y Carolina del Norte, declararon ilegal que las agencias gubernamentales estatales paguen un rescate.

Los expertos en ciberseguridad y agencias federales como la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Servicio Secreto de EE. UU. recomiendan que las organizaciones tomen medidas de precaución para defender contra las amenazas de ransomware. Estas medidas pueden incluir:

• Mantener copias de seguridad de los datos sensibles y de las imágenes del sistema, idealmente en discos duros u otros dispositivos que el equipo informático puede desconectar de la red en caso de un ataque de ransomware.
  
  
• Aplicar parches con regularidad para ayudar a combatir los ataques de ransomware que explotan las vulnerabilidades del software y del sistema operativo.
  
  
• Las herramientas de ciberseguridad como el software antimalware, las herramientas de monitoreo de red, las plataformas de detección y respuesta de endpoints (EDR) e información de seguridad y gestión de eventos (SIEM) pueden ayudar a los equipos de seguridad a interceptar el ransomware en tiempo real.
  
  
• La capacitación en ciberseguridad para empleados puede ayudar a los usuarios a reconocer y evitar el phishing, la ingeniería social y otras tácticas que pueden conducir a infecciones de ransomware.
  
  
• La implementación de políticas de control de acceso, incluida la autenticación multifactor, la segmentación de la red y medidas similares, puede evitar que el ransomware llegue a datos confidenciales. Los controles de gestión de identidad y acceso (IAM) también pueden evitar que los criptogusanos se propaguen a otros dispositivos de la red.
  
  
• Los planes formales de respuesta a incidentes permiten a los equipos de seguridad interceptar y remediar las brechas en menos tiempo. El informe Costo de una filtración de datos concluyó que las organizaciones con planes formales y equipos de respuesta a incidentes dedicados identifican las vulneraciones 54 días más rápido que las organizaciones que no tienen ninguno de los dos. Este tiempo de detección más rápido reduce los costes de corrección, ahorrando a las organizaciones una media de casi un millón de dólares.

Si bien las herramientas de descifrado para algunas variantes de ransomware están disponibles públicamente a través de proyectos como No More Ransom², la corrección de una infección activa de ransomware a menudo requiere un enfoque multifacético.

Consulte en la Guía definitiva de ransomware de IBM Security un ejemplo de un plan de respuesta a incidentes de ransomware modelado según el ciclo de vida de respuesta a incidentes del National Institute of Standards and Technology (NIST). 

1989: el primer ransomware documentado, conocido como el troyano "ADSS" o "PC El ataque Cyborg se distribuye a través de disquetes. Ocultaba directorios de archivos en el ordenador de la víctima y exige 189 dólares para desocultarlos. Debido a que este malware funciona encriptando los nombres de los archivos en lugar de los archivos en sí, es fácil para los usuarios revertir el daño sin pagar un rescate.

1996: al analizar troyanos ADSS los científicos informáticos Adam L. Young y Moti Yung advirtieron sobre futuras formas de malware que podrían usar criptografía más sofisticada para mantener como paso los datos confidenciales. 

2005: después de relativamente pocos ataques de ransomware a principios de la década de 2000, comienza un repunte de infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes para usar el cifrado asimétrico. A medida que el nuevo ransomware ofrecía formas más efectivas de extorsión, más delincuentes cibernéticos comenzaron a propagar ransomware en todo el mundo.

2009: la introducción de la criptomoneda, particularmente el bitcoin, brinda a los delincuentes cibernéticos una forma de recibir pagos de rescate irrastreables, impulsando el próximo aumento en la actividad de ransomware.

2013: la era moderna del ransomware comienza con CryptoLocker, que inaugura la ola actual de ataques de ransomware altamente sofisticados basados en cifrado y que solicitan pago en criptomonedas.

2015: la variante de ransomware Tox presenta el modelo de ransomware como modelo de servicio (RaaS).

2017: aparece WannaCry, los primeros criptogusanos autorreplicantes ampliamente utilizados.

2018: Ryuk popularizó la caza mayor en el ransomware.

2019: Los ataques de ransomware de doble y triple extorsión se vuelven más populares. Casi todos los incidentes de ransomware a los que el equipo de respuesta a incidentes de IBM Security X-Force ha respondido desde 2019 han involucrado una doble extorsión.

2022: El secuestro de hilos, en el que los ciberdelincuentes se insertan en las conversaciones legítimas en línea de los objetivos para propagar malware, surge como un vector prominente de ransomware.

2023: A medida que mejoran las defensas contra el ransomware, muchas pandillas de ransomware comienzan a expandir sus arsenales y complementan su ransomware con nuevas tácticas de extorsión. En particular, pandillas como LockBit y algunos remanentes de Conti comienzan a usar malware infostealer que les permite robar datos confidenciales y mantenerlos como rehenes sin necesidad de bloquear los sistemas de las víctimas.