Actualizado: 4 de junio de 2024
Colaborador: Mateo kosinski
El ransomware es un tipo de malware que retiene los datos o el dispositivo confidenciales de una víctima, amenazando con mantenerlos bloqueados, o peor, a menos que la víctima pague un rescate al atacante.
Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Al realizar respaldos de datos regulares o continuos, una organización podía limitar los costos de estos tipos de ataques de ransomware y, a menudo, evitar el pago del rescate exigido.
En los últimos años, los ataques de ransomware evolucionaron para incluir tácticas de doble y triple exposición que aumentan considerablemente la apuesta. Incluso las víctimas que mantienen rigurosamente una copia de seguridad de sus datos o pagan el rescate inicial corren peligro.
Los ataques de doble extorsión agregan la amenaza de robar los datos de la víctima y filtrarlos en línea. Los ataques de triple extorsión agregan la amenaza de emplear los datos robados para atacar a los clientes o socios comerciales de la víctima.
El ransomware es una de las formas más comunes de software malicioso, y los ataques de ransomware pueden costar millones de dólares a las organizaciones afectadas.
El 20% de todos los ciberataques registrados por el IBM ® X-Force ® Threat Intelligence Index en 2023 involucraron ransomware. Y estos ataques se mueven rápidamente. Cuando los hackers obtienen acceso a una red, tardan menos de cuatro días en implementar el ransomware. Esta velocidad da a las organizaciones poco tiempo para detectar y evitar posibles ataques.
Las víctimas de ransomware y los negociadores son reacios a revelar los pagos de rescate, pero los actores de amenazas a menudo exigen montos de siete y ocho cifras. Además, los pagos de rescate son solo parte del costo total de una infección por ransomware. Según el informe de IBM Cost of a Data Breach, el costo promedio de una violación de ransomware es de USD 5.13 millones, que no incluye los pagos de rescate.
Dicho esto, los equipos de ciberseguridad son cada vez más expertos en combatir el ransomware. El Índice de Inteligencia de Amenazas de X-Force encontró que las infecciones de ransomware disminuyeron un 11,5% entre 2022 y 2023, probablemente debido a las mejoras en la detección y prevención de amenazas.
Aumente sus conocimientos y replantee su plan de respuesta a incidentes para reforzar las defensas de su organización contra el ransomware.
Regístrese para recibir el informe sobre el costo de una filtración de datos
Hay dos tipos generales de ransomware. El tipo más común, llamado ransomware de cifrado o ransomware criptográfico, mantiene como pie los datos de la víctima mediante cifrado. Luego, el atacante exige un rescate a cambio de proporcionar la clave de cifrado necesaria para descifrar los datos.
La forma menos común de ransomware, llamada ransomware sin cifrar o ransomware con bloqueo de pantalla, bloquea todo el dispositivo de la víctima, generalmente bloqueando el acceso al sistema operativo. En lugar de arrancar como de costumbre, el dispositivo muestra una pantalla con la demanda de rescate.
Estos dos tipos generales se dividen en estas subcategorías:
Leakware o doxware son ransomware que roba o exfiltra datos confidenciales y amenaza con publicarlos. Mientras que las formas anteriores de leakware o doxware a menudo robaban datos sin cifrarlos, las variantes actuales suelen hacer.
El ransomware móvil incluye todo el ransomware que afecta a los dispositivos móviles. Entregado a través de aplicaciones maliciosas o descargas no autorizadas, la mayoría de los ransomware móviles son ransomware sin cifrado. Los hackers prefieren los bloqueadores de pantalla para los ataques móviles porque las copias de seguridad automatizadas de datos en la nube, estándar en muchos dispositivos móviles, facilitan la reversión de los ataques de cifrado.
Los Wipers, o ransomware destructivo, amenazan con destruir datos si la víctima no paga el rescate. En algunos casos, el ransomware destruye los datos incluso si la víctima paga. Es un tipo de wipers de un país o estado, comunmente deslpegado en lugar de delincuentes cibernéticos comunes, quienes implementan este tipo de wipers.
El scareware es exactamente lo que parece: un ransomware que intenta asustar a los usuarios para que paguen un rescate. El scareware puede hacer pasar por un mensaje de las fuerzas de seguridad, acusando a la víctima de un delito y exigiendo el pago de una multa. También puede simular una alerta legítima de infección por virus y animar a la víctima a comprar un ransomware disfrazado de software antivirus.
A veces, el scareware es el ransomware, que cifra los datos o bloquea el dispositivo. En otros casos, es el vector del ransomware, que no cifra nada más que obliga a la víctima a descargar ransomware.
Los ataques de ransomware pueden usar varios métodos o vectores para infectar una red o dispositivo. Algunos de los vectores de infección de ransomware más destacados son:
Los ataques de ingeniería social engañan a las víctimas para que descarguen y ejecuten archivos ejecutables que resultan ser ransomware. Por ejemplo, un email dephishing puede contener un archivo adjunto malicioso disfrazado de .pdf, documento de Microsoft Word u otro archivo de apariencia inofensiva.
Los ataques de ingeniería social también pueden atraer a los usuarios para que visiten un sitio web malicioso o escaneen códigos QR maliciosos que pasan el ransomware a través del navegador sitio web del usuario.
Los ciberdelincuentes suelen aprovechar las vulnerabilidades existentes para inyectar código malicioso en un dispositivo o red.
Las vulnerabilidades de día cero, que son vulnerabilidades desconocidas para la comunidad de seguridad o identificadas pero sin parche, suponen una amenaza particular. Algunos grupos delincuentes de ransomware compran información sobre fallas de día cero de otros hackers para planificar sus ataques. Los hackers también emplearon eficazmente vulnerabilidades parchadas como vectores de ataque, tal como ocurrió en el ataque WannaCry de 2017.
Los ciberdelincuentes pueden robar las credenciales de usuarios autorizados, comprarlas en la dark web o descifrarlas mediante ataques de fuerza bruta. A continuación, utilizan estas credenciales para iniciar sesión en una red u ordenador e implementan directamente el ransomware.
El protocolo de escritorio remoto (RDP), un protocolo propietario de Microsoft que permite a los usuarios acceder a un equipo de forma remota, es un objetivo popular de robo de credenciales entre los atacantes de ransomware.
Los hackers suelen emplear malware desarrollado para otros ataques para llevar ransomware a un dispositivo. Los actores de amenazas emplearon el troyano Trickbot, originalmente diseñado para robar credenciales bancarias, para propagar la variante de ransomware Conti a lo largo de 2021.
Los hackers pueden usar sitios web para pasar ransomware a dispositivos sin el conocimiento de los usuarios. Los kits de explotación utilizan sitios web comprometidos para escanear los navegadores de los visitantes en busca de vulnerabilidades de aplicaciones web que puedan utilizar para inyectar ransomware en un dispositivo.
La publicidad malicios—anuncios digitales legítimos que los hackers han puesto en riesgo— también puede transmitir ransomware a los dispositivos, incluso si el usuario no hace clic en el anuncio.
Los delincuentes cibernéticos no tienen que desarrollar su propio ransomware para aprovechar estos vectores. Algunos desarrolladores de ransomware comparten su código de malware con los delincuentes cibernéticos a través de acuerdos de ransomware como servicio (RaaS).
El delincuente cibernético, o "afiliado", utiliza el código para llevar a cabo un ataque y dividir el pago de rescate con el desarrollador Es una relación mutuamente beneficiosa. Los afiliados pueden beneficiarse de la extorsión sin tener que desarrollar su propio malware, y los desarrolladores pueden aumentar sus ganancias sin lanzar más ciberataques.
Los distribuidores de ransomware pueden vender ransomware a través de mercados digitales en el sitio web oscuro. También pueden reclutar convertidos en miembro directamente a través de foros en línea o vías similares. Los grandes grupos de ransomware invirtieron importantes sumas de dinero en esfuerzos de reclutamiento para atraer afiliados.
Un ataque de ransomware suele pasar por estas etapas.
Según la Guía definitiva para el ransomware de IBM Security®, los vectores más comunes para los ataques de ransomware son el phishing, la explotación de vulnerabilidades y el riesgo de protocolos de acceso remoto como RDP.
Según el vector de acceso inicial, los hackers pueden implementar una herramienta de acceso remoto (RAT) intermediaria u otro malware para ayudar a afianzar en el sistema de destino.
Durante esta tercera etapa, los atacantes se enfocan en comprender el sistema local y el dominio al que pueden acceder actualmente. Los atacantes también trabajan para obtener acceso a otros sistemas y dominios, un proceso llamado movimiento lateral.
Aquí los operadores de ransomware cambian su enfoque para identificar datos valiosos y exfiltrarlos (robarlos), generalmente descargando o exportando una copia para ellos mismos.
Si bien los atacantes pueden exfiltrar todos los datos a los que pueden acceder, por lo general por general se centran en datos especialmente valiosos (credenciales de información personal de los clientes, propiedad intelectual) que pueden utilizar para una doble extorsión.
El ransomware criptográfico comienza a identificar y cifrar archivos. Algunas versiones de ransomware criptográfico también deshabilitan las características de restauración del sistema o eliminan o cifran los respaldos en el equipo o la red de la víctima para aumentar la presión de pagar la clave de descifrado.
El ransomware sin cifrado bloquea la pantalla del dispositivo, inunda el dispositivo con ventanas emergentes o evita que la víctima use el dispositivo.
Una vez cifrados los archivos o inutilizado el dispositivo, el ransomware alerta a la víctima a la infección. Esta notificación suele llegar a través de un archivo .txt archivo depositado en el escritorio de la computadora o mediante una ventana emergente.
La nota de rescate contiene instrucciones sobre cómo pagar el rescate, normalmente en criptomoneda o un método similar imposible de rastrear. El pago se realiza a cambio de una clave de descifrado o el restablecimiento de las operaciones estándar.
Hasta la fecha, los investigadores de ciberseguridad identificaron miles de variantes o “familias” distintas de ransomware, cepas únicas con sus propias firmas de código y funciones.
Varias cepas de ransomware son especialmente notables por el alcance de su destrucción, cómo influyeron en el desarrollo del ransomware o las amenazas que representan en la actualidad.
CryptoLocker
Apuesto por primera vez en septiembre de 2013, CryptoLocker es ampliamente ampliamente conocido como el inicio de la era moderna del ransomware.
Propagado por medio de una botnet (una red de computadoras secuestradas), CryptoLocker fue una de las primeras familias de ransomware en cifrar fuertemente los archivos de los usuarios Se estima que sus extorsiones sumaron tres millones de dólares antes de que un esfuerzo internacional de aplicación de la ley la cerrara en 3.
El éxito de CryptoLocker generó numerosos imitadores y allanó el camino para variantes como WannaCry, Ryuk y Petya.
WannaCry
El primer criptogusano de gran repercusión -un ransomware que puede propagar a otros dispositivos en una red-, WannaCry, atacó a más de 200.000 computadoras en 150 países. Las computadoras afectadas eran vulnerables porque los administradores no habían aplicado parches a la vulnerabilidad de EternalMicrosoft Windows.
Además de cifrar los datos confidenciales, el ransomware WannaCry amenazaba con borrar los archivos si las víctimas no enviaban el pago en un plazo de siete días. Sigue siendo uno de los mayores ataques de ransomware hasta la fecha, con costos estimados de hasta cuatro mil millones de dólares.
Petya y NotPetya
A diferencia de otros ransomware criptográficos, Petya cifra la tabla del sistema de archivos en lugar de los archivos individuales, lo que implica que el equipo infectado no puede iniciar Windows.
NotPetya, una versión muy modificada, se utilizó para llevar a cabo un ciberataque a gran escala, principalmente contra Ucrania, en 2017. NotPetya era un limpiaparabrisas incapaz de desbloquear sistemas incluso después de que las víctimas pagaran.
Ryuk
Visto por primera vez en 2018, Ryuk popularizó los ataques de "ransomware de caza mayor" contra objetivos específicos de alto valor, con demandas de rescate que promedian más de un millón de dólares. Ryuk puede localizar y deshabilitar los archivos de backup y las funciones de restore del sistema. En 2021 apareció una nueva cepa con capacidades de criptogusano.
DarkSide
Dirigido por un grupo que se sospecha que opera desde Rusia, DarkSide es la variante de ransomware que atacó el Oleoducto Colonial el 7 de mayo de 2021. En lo que muchos consideran el peor ciberataque contra una infraestructura crítica estadounidense hasta la fecha, DarkSide cerró temporalmente el oleoducto que suministra el 45% del combustible de la Costa Este.
Además de realizar ataques directos, el grupo DarkSide también licencia su ransomware a través de acuerdos RaaS.
Locky
Locky es un ransomware criptográfico con un método distinto de infección: utiliza macros ocultas en archivos adjuntos de correo electrónico (archivos de Microsoft Word) disfrazados de facturas legítimas. Cuando un usuario descarga y abre el documento de Microsoft Word, las macros maliciosas descargan secretamente la carga útil del ransomware en el dispositivo del usuario.
REvil
REvil, también conocido como Sodin o Sodinokibi, ayudó a popularizar el enfoque RaaS para la distribución de ransomware.
Conocido por su uso la caza mayor y los ataques de doble extorsión, REvil estuvo detrás de los ataques de 2021 contra JBS USA USA y Kaseya Limited. JBS pagó un rescate de 11 millones de dólares después de que los hackers interrumpieran toda su operación de procesamiento de carne de res en Estados Unidos. Un tiempo de inactividad significativo afectó a más de 1000 clientes de software de Kaseya.
El Servicio Federal de Seguridad de Rusia informó que había desmantelado REvil y acusado a varios de sus miembros a principios de 2022.
Conti
Observado por primera vez en 2020, la pandilla Conti operaba un amplio esquema RaaS en el que pagaba a los hackers un salario regular para usar su ransomware. Conti empleó una forma única de doble extorsión en la que la pandilla amenazaba con vender el acceso a la red de una víctima a otros hackers si la víctima no pagaba.
Conti se disolvió después de que se filtraran los registros de los chats internos de la banda en 2022, pero muchos antiguos miembros siguen activos en el mundo de la ciberdelincuencia. Según el Índice de Inteligencia de Amenazas de X-Force, antiguos asociados de Conti fueron vinculados a algunas de las variantes de ransomware más extendidas en la actualidad, como BlackBasta, Royal y Zeon.
LockBit
LockBit, una de las variantes de ransomware más comunes en 2023 según el X-Force Threat Intelligence Index, destaca por el comportamiento empresarial de sus desarrolladores. Se sabe que el grupo LockBit adquiere otras cepas de malware de la misma manera que las compañías legítimas adquieren otras compañías.
Si bien las fuerzas del orden incautaron algunos de los sitios web de LockBit en febrero de 2024 y el gobierno de Estados Unidos impuso sanciones a uno de los principales líderes de la pandilla, LockBit continúa atacando a las víctimas.
Las peticiones de rescate varían mucho y muchas víctimas optan por no hacer público cuánto pagaron, por lo que es difícil determinar una cantidad media de pago de rescate. Dicho esto, la mayoría de las estimaciones lo sitúan entre seis y siete cifras. Los atacantes exigieron el pago de rescates de hasta 80 millones de dólares, según la Guía definitiva del ransomwarede IBM .
Es importante destacar que la proporción de víctimas que pagan algún rescate disminuyó significativamente en los últimos años. Según la compañía de respuesta a incidentes de extorsión cibernética Coveware, solo el 37 % de las víctimas pagaron un rescate en 2023, en comparación con el 70 % en 2020.1
Los expertos apuntan a una mejor preparación frente a la ciberdelincuencia -incluida una mayor inversión en copias de seguridad de datos, planes de respuesta a incidentes y tecnología de prevención y detección de amenazas- como posible motor de este cambio.
Orientación para las autoridades
Las fuerzas de seguridad federales de Estados Unidos desaconsejan unánimemente a las víctimas de ransomware que paguen las peticiones de rescate. Según la National Cyber Investigative Joint Task Force (NCIJTF), una coalición de 20 organismos federales estadounidenses encargados de investigar las ciberamenazas:
"El FBI no alienta el pago de un rescate a los criminales. Pagar un rescate puede animar a los adversarios a atacar más organizaciones así como alentar a otros delincuentes a participar en la distribución del ransomware o financiar actividades ilícitas. Pagar el rescate tampoco garantiza que se recuperarán los archivos de una víctima".
Las agencias encargadas de hacer cumplir la ley recomiendan que las víctimas de ransomware informen los ataques a las autoridades correspondientes, como el Centro de Denuncias de Delitos en Internet (IC3) del FBI, antes de pagar un rescate.
Algunas víctimas de ataques de ransomware tienen la obligación legal de informar sobre infecciones de ransomware independientemente de si pagan un rescate. Por ejemplo, el cumplimiento de HIPAA generalmente requiere que las entidades de atención médica informen cualquier violación de datos, incluidos los ataques de ransomware, al Departamento de Salud y Servicios Humanos.
En ciertas condiciones,
La Oficina de Control de Activos Extranjeros (OFAC) de EE. UU. declaró que pagar un rescate a atacantes de países bajo sanciones económicas de Estados Unidos, como Corea del Norte o Irán, viola las regulaciones de la OFAC. Los infractores pueden enfrentar sanciones civiles, multas o cargos penales.
Algunos estados de Estados Unidos, como Florida y Carolina del Norte, declararon ilegal que las agencias gubernamentales estatales paguen un rescate.
Los expertos en ciberseguridad y agencias federales como la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Servicio Secreto de EE. UU. recomiendan que las organizaciones tomen medidas de precaución para defender contra las amenazas de ransomware. Estas medidas pueden incluir:
- Mantener copias de seguridad de los datos sensibles y de las imágenes del sistema, idealmente en discos duros u otros dispositivos que el equipo informático pueda desconectar de la red en caso de ataque de ransomware.
- Aplicación periódica de parches para prevenir los ataques de ransomware que aprovechan el software y las vulnerabilidades del sistema operativo.
- Herramientas de ciberseguridad, como software antimalware, herramientas de monitoreo de redes, plataformas de detección y respuesta de endpoints (EDR) y sistemas de gestión de eventos e información de seguridad (SIEM) pueden ayudar a los equipos de seguridad a interceptar ransomware en tiempo real.
- La capacitación en ciberseguridad para empleados puede ayudar a los usuarios a reconocer y evitar el phishing, la ingeniería social y otras tácticas que pueden conducir a infecciones de ransomware.
- La implementación de políticas de control de acceso, incluida la autenticación multifactor, la segmentación de la red y medidas similares, puede evitar que el ransomware llegue a datos confidenciales. Los controles de gestión de identidad y acceso (IAM) también pueden evitar que los criptogusanos se propaguen a otros dispositivos de la red.
- Los planes formales de respuesta ante incidentes permiten a los equipos de seguridad interceptar y remediar brechas en menos tiempo. El informe Cost of a Data Breach encontró que las organizaciones con planes formales y equipos dedicados de respuesta a incidentes identifican las brechas 54 días más rápido que las organizaciones que no tienen ninguno de los dos. Este tiempo de detección más rápido reduce los costos de reparación, ahorrando a las organizaciones una media de 1,49 millones de dólares por brecha.
Si bien las herramientas de descifrado para algunas variantes de ransomware están disponibles públicamente a través de proyectos como No More Ransom , corregir una infección activa de ransomware a menudo requiere un enfoquemultifacético.
Consulte en la Guía definitiva de ransomware de IBM Security un ejemplo de un plan de respuesta a incidentes de ransomware modelado según el ciclo de vida de respuesta a incidentes del National Institute of Standards and Technology (NIST).
1989: el primer ransomware documentado, conocido como el troyano "ADSS" o "PC El ataque Cyborg se distribuye a través de disquetes. Ocultaba directorios de archivos en el ordenador de la víctima y exige 189 dólares para desocultarlos. Debido a que este malware funciona encriptando los nombres de los archivos en lugar de los archivos en sí, es fácil para los usuarios revertir el daño sin pagar un rescate.
1996: al analizar troyanos ADSS los científicos informáticos Adam L. Young y Moti Yung advirtieron sobre futuras formas de malware que podrían usar criptografía más sofisticada para mantener como paso los datos confidenciales.
2005: después de relativamente pocos ataques de ransomware a principios de la década de 2000, comienza un repunte de infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes para usar el cifrado asimétrico. A medida que el nuevo ransomware ofrecía formas más efectivas de extorsión, más delincuentes cibernéticos comenzaron a propagar ransomware en todo el mundo.
2009: la introducción de la criptomoneda, particularmente el bitcoin, brinda a los delincuentes cibernéticos una forma de recibir pagos de rescate irrastreables, impulsando el próximo aumento en la actividad de ransomware.
2013: la era moderna del ransomware comienza con CryptoLocker, que inaugura la ola actual de ataques de ransomware altamente sofisticados basados en cifrado y que solicitan pago en criptomonedas.
2015: la variante de ransomware Tox presenta el modelo de ransomware como modelo de servicio (RaaS).
2017: aparece WannaCry, los primeros criptogusanos autorreplicantes ampliamente utilizados.
2018: Ryuk popularizó la caza mayor en el ransomware.
2019: Los ataques de ransomware de doble y triple extorsión se vuelven más populares. Casi todos los incidentes de ransomware a los que el equipo de respuesta a incidentes de IBM Security X-Force ha respondido desde 2019 han involucrado una doble extorsión.
2022: El secuestro de hilos, en el que los ciberdelincuentes se insertan en las conversaciones legítimas en línea de los objetivos para propagar malware, surge como un vector prominente de ransomware.
2023: A medida que mejoran las defensas contra el ransomware, muchas pandillas de ransomware comienzan a expandir sus arsenales y complementan su ransomware con nuevas tácticas de extorsión. En particular, pandillas como LockBit y algunos remanentes de Conti comienzan a usar malware infostealer que les permite robar datos confidenciales y mantenerlos como rehenes sin necesidad de bloquear los sistemas de las víctimas.
Evite que el ransomware interrumpa la continuidad del negocio y recuperar rápidamente cuando se produzcan ataques para minimizar el impacto de las amenazas de ransomware.
El FlashCore Module 4 (FCM4) de próxima generación proporciona almacenamiento de datos resiliente en caso de un ciberataque. Monitorear continuamente las estadísticas recopiladas de cada E/S empleando modelos de aprendizaje automático para detectar anomalías como ransomware en menos de un minuto.
Proteja de forma proactiva los sistemas de almacenamiento primario y secundario de su organización contra ransomware, errores humanos, desastres naturales, sabotaje, fallas de hardware y otros riesgos de pérdida de datos.
Registrar en el seminario sitio web para saber cómo puede combinar el poder de IBM Storage Defender e IBM FlashSystem para combatir el ransomware.
Vea la grabación bajo pedido para conocer los pasos prácticos que puede seguir para crear una operación más resiliente y proteger sus datos.
Obtenga información procesable que le ayude a comprender cómo los actores de amenazas están perpetrando ataques y cómo puede proteger proactivamente su organización.
Notas de pie de página
Todos los enlaces se encuentran fuera de ibm.com
1 Los nuevos requisitos de notificación de ransomware entran en vigor a medida que las víctimas evitan cada vez más pagar. Coveware. 26 de enero de 2024.
2 Herramientas de descifrado. No más rescates.