El ransomware es una de las ciberamenazas que más rápido está creciendo en los últimos años y que más evoluciona, ya que los ciberatacantes modifican su comportamiento y funciones para intentar evadir los sistemas de detección. En este post te contamos qué es el ransomware, los distinto tipos de ransomware que existen, ejemplos de ransomware, cómo infectan nuestros sistemas y cómo podemos protegernos.
¿Qué es el ransomware?
El ransomware es un tipo de malware (programa malicioso) que tiene como objetivo conseguir el control del equipo cifrando los ficheros y solicitando un rescate económico.
La palabra ransomware es una combinación de dos palabras que provienen del inglés “ransom” (rescate) y “ware” (abreviación de software), ya que su principal característica es que cuando se ejecuta, secuestra los ficheros de equipo infectado cifrando los ficheros solicitando un rescate económico para poder recuperarlos.
Tipos de ransomware
La tecnología de los ransomware ha ido evolucionando a lo largo de los años, y aunque ha habido cambios sustanciales los cuales han ido añadiendo complejidad, su función principal siempre es la misma: bloquear el sistema y solicitar un rescate económico. Existen distintos tipos de ransomware:
Scareware
El scareware es un tipo de software malicioso creado para alarmar a los usuarios y hacerles creer que su computadora está infectada con virus y que se enfrentan a un grave problema de seguridad. Su objetivo es engañarles para que compren software dañino o para que proporcionen información personal o financiera. Este tipo de software se instala mediante software que simula a programas legítimos, descargas ilegales, o supuestos antivirus que aseguran limpiar tu PC.
Ransomware de cifrado
Un ransomware de cifrado, también conocido como crypto-ransomware, es un tipo de malware que cifra los archivos en el dispositivo de la víctima, haciendo que estos sean inaccesibles sin una clave de descifrado. El atacante exige un pago, generalmente en criptomonedas, como Bitcoin, a cambio de proporcionar la clave de descifrado necesaria para recuperar los archivos.
Bloqueadores de pantalla
Un ransomware bloqueador de pantalla, o locker ransomware, es un tipo de malware que impide a los usuarios acceder a sus dispositivos al bloquear la pantalla o el sistema operativo. A diferencia del crypto-ransomware, que cifra archivos específicos, el ransomware bloqueador de pantalla restringe el acceso al dispositivo completo, mostrando una pantalla de bloqueo que exige el pago de un rescate para recuperar el control del PC.
Doxware
El doxware, también conocido como “leakware”, es un tipo de ransomware que no solo cifra los archivos de la víctima, sino que también amenaza con divulgar información sensible o personal en línea a menos que se pague el rescate.
El término «dox» proviene de «doxing«, una práctica en la que se publica información privada o identificable de una persona sin su consentimiento. Este ransomware es muy habitual en grupos de cibercriminales como “lockbit” el cual publica una parte de los datos en una web para intentar presionar más si cabe y forzar el pago del rescate.
Ransomware de Partición MBR
El ransomware de partición MBR (Master Boot Record), también conocido como ransomware de arranque, es un tipo de malware que afecta el sector de arranque principal del disco duro (MBR) de un dispositivo. El MBR es una parte esencial del disco duro que contiene el código necesario para iniciar el sistema operativo.
Cómo infecta el ransomware un sistema o dispositivo
El ransomware puede infectar un sistema o dispositivo de diversas maneras, aprovechándose de vulnerabilidades de seguridad o empleando técnicas de ingeniería social para engañar a los usuarios. A continuación, se describen algunas de las formas más comunes en que el ransomware puede infiltrarse:
- Correos electrónicos (phishing): Los correos electrónicos de phishing son mensajes fraudulentos que simulan provenir de fuentes legítimas. Estos mensajes suelen contener enlaces a sitios web maliciosos que solicitan al usuario sus credenciales corporativas, o de correo electrónico para así poder suplantar al usuario.
- Archivos maliciosos: Los archivos adjuntos en correos electrónicos, mensajes instantáneos o descargas de sitios web pueden ocultar ransomware. Estos archivos a menudo se disfrazan como documentos legítimos, como facturas, currículums o archivos de imagen.
- Vulnerabilidades de software y Sistemas Operativos: El ransomware puede aprovechar vulnerabilidades conocidas en el software o el sistema operativo de un dispositivo para infiltrarse en el sistem Esto puede suceder si el equipo o servidor no está actualizado con los últimos parches de seguridad o el desarrollo del software no ha tenido en cuenta la seguridad en su construcción y diseño.
- Sitios Web maliciosos o comprometidos: Al visitar sitios web maliciosos o comprometidos los usuarios pueden verse expuestos a ransomware a través de descargas automáticas o de clics en anuncios fraudulentos que llevan a la instalación de malware.
- Redes y dispositivos conectados: El ransomware también puede propagarse a través de redes internas de una organización o dispositivos conectados, como unidades USB, discos duros externos o servidores compartidos, dispositivos NAS, etc., si estos dispositivos no están protegidos adecuadamente.
- Ataques dirigidos: Algunos ataques de ransomware están dirigidos específicamente a organizaciones o individuos particulares utilizando técnicas avanzadas de ingeniería social y análisis de vulnerabilidades para comprometer los sistemas. Este tipo de ataques son los más elaborados, ya que se preparan específicamente para esa organización en concreto, analizando durante meses la empresa y trazando un plan para atacarla.
Es fundamental tener en cuenta que los métodos de propagación del ransomware están en constante evolución, y los usuarios deben estar alerta ante nuevas tácticas empleadas por los ciberdelincuentes. Algunas medidas clave para prevenir la infección por ransomware son:
- La concienciación en Ciberseguridad a usuarios.
- El uso de software de seguridad actualizado.
- La precaución al interactuar con correos electrónicos y sitios web.
Ejemplos de ransomware
El ransomware ha ido evolucionando a lo largo de la historia, desde sus inicios en el 1896 a la actualidad, ha pasado por muchísimos cambios para dificultar a los sistemas de protección y a los equipos de ciberinteligencia su detección. Para entender mejor la magnitud y la gravedad de los ataques de ransomware, es útil examinar algunos ejemplos notorios.
CryptoLocker
CryptoLocker se hizo famoso en 2013 por su efectividad y capacidad para cifrar archivos de una forma prácticamente imposible de descifrar. Este ransomware se distribuyó principalmente a través de correos electrónicos de phishing y logró infectar cientos de miles de sistemas en todo el mundo. El rescate exigido variaba entre 100 y 500 dólares, generalmente en Bitcoins para evitar el rastreo del pago. Fue uno de los primeros ransomware que implementaba sistemas de cifrado más modernos que sus antecesores, y su impacto sirvió como un recordatorio contundente de la importancia de la ciberseguridad y la prevención contra ataques de ransomware.
WannaCry
Probablemente uno de los ataques de ransomware más conocidos, wannaCry afectó a más de 230.000 computadoras en 150 países en mayo de 2017. Utilizó una vulnerabilidad en Windows conocida como EternalBlue para propagarse. Los atacantes exigieron un rescate en Bitcoin a cambio de la clave para desbloquear los archivos.
El daño causado por WannaCry fue significativo, afectando a hospitales, empresas, servicios públicos y sistemas gubernamentales en todo el mundo. Se estima que los costes totales de los daños oscilaron entre miles de millones y decenas de miles de millones de dólares.
Petya
Petya es otro ransomware bien conocido que no solo cifra los archivos, sino que también sobrescribe y cifra el registro maestro de arranque (MBR) para hacer que el sistema sea inoperante. Petya se distribuyó inicialmente a través un correo electrónico falso de una empresa reconocida.
Petya inicialmente se pensó que era ransomware, pero posteriormente se reveló como un ataque de destrucción de datos disfrazado de ransomware. Este ataque afectó a empresas en todo el mundo y causó daños económicos masivos.
Ryuk
Aparecido en 2018, Ryuk es conocido por atacar organizaciones empresariales y gubernamentales. Utiliza tácticas avanzadas de evasión y cifrado para maximizar el impacto y obtener rescates más grandes.
GandCrab
GandCrab fue uno de los ransomware más activos y lucrativos. Utilizaba técnicas de distribución sofisticadas y se actualizaba regularmente para evadir las medidas de seguridad.
Sodinokibi/REvil
Este ransomware ha estado activo desde alrededor de 2019 y se ha utilizado en varios ataques notables contra empresas y organizaciones. Se distribuye principalmente a través de kits de exploit y ha generado grandes sumas de rescates.
Ransomware como servicio (RaaS)
El ransomware sin duda se ha convertido en un modelo de negocio lucrativo para los ciberdelincuentes. Es por ello que han industrializado el ransomware creando un sistema de suscripción denominado “ransomware As a Service” (RaaS), que, al igual que cualquier otro servicio basado en suscripción, el RaaS permite a los compradores acceder a herramientas y recursos de ransomware a cambio de una tarifa. Los proveedores de RaaS ofrecen programas completos de ransomware, permitiendo incluso a individuos sin habilidades técnicas lanzar ataques.
Dentro del RaaS podemos encontrar distintos tipos de herramientas:
- RaaS: El modelo RaaS ha facilitado la proliferación del ransomware al hacerlo accesible para más actores maliciosos. Con interfaces sencillas, distintos niveles de suscripción y soporte técnico incluido, estos servicios han democratizado el uso del ransomware.
- Kits de exploits: Los kits de exploits representan un grave riesgo, especialmente cuando se utilizan junto con el ransomware. Permiten a los atacantes infiltrarse en sistemas vulnerables, donde pueden desplegar su carga útil de ransomware.
Cabe recordar que, aunque estas herramientas pueden parecer intimidantes, existen métodos efectivos para protegerse contra ellas.
¿Cómo reconocer si mi empresa ha sido atacada por ransomware?
Los ataques de ransomware tienen patrones comunes que pueden indicar que un ransomware se ha desplegado dentro de la organización. El tiempo de reacción en este tipo de ataques es crucial para neutralizar la amenaza y evitar que se siga expandiendo.
Algunas señales inequívocas son:
- Archivos inaccesibles o cambios en la extensión de archivos: La detección de archivos inaccesibles o con extensiones inusuales como «.encrypted» o «.locked» suele ser un indicio de cifrado por ransomware.
- Notas de rescate o mensajes de alerta: La aparición de notas de rescate en los sistemas infectados, sobre todo en las carpetas compartidas, solicitando un pago a cambio de una clave de descifrado, así como mensajes de alerta en las pantallas de las computadoras indicando bloqueo y requerimiento de pago, son señales claras de una posible infección por ransomware.
- Problemas de acceso a recursos y aplicaciones de red: Experimentar dificultades para acceder a ciertos sistemas o recursos de red, junto con un rendimiento lento o anormal en la red empresarial, podría indicar la presencia activa y propagación del ransomware.
- Actividad inusual en el tráfico de red: Observar actividad sospechosa, como comunicaciones con dominios desconocidos o transferencias de archivos inesperadas hacia ubicaciones no habituales, al monitorear el tráfico de red, podría ser una señal de la presencia de ransomware.
- Errores al abrir archivos o aplicaciones: La aparición de errores al intentar abrir archivos o aplicaciones que antes funcionaban correctamente puede ser consecuencia del cifrado de archivos por ransomware o compromiso de sistemas.
- Aumento de actividad anormal del sistema: Notar un uso inusualmente alto de la CPU o lentitud en al acceso a disco en los sistemas infectados podría indicar que el ransomware está activamente encriptando archivos en segundo plano.
Si detectas alguna de estas señales o sospechas que tu empresa ha sido afectada por ransomware es crucial tomar medidas rápidas y efectivas. Algunos pasos fundamentales para mitigar el impacto del ataque son:
- aislar los sistemas afectados, desconectarlos de la red para evitar la propagación
- notificar a los responsables de seguridad de la información
- y considerar la asistencia de expertos en respuesta a incidentes de seguridad cibernética
¿Cómo puedo proteger mi empresa frente al ransomware?
Al igual que el ransomware ha evolucionado a lo largo de los años, los sistemas de protección y las técnicas para combatirlo también lo han hecho. Proteger a las empresas se ha convertido en una prioridad debido a que por desgracia los ciberataques cada año van en aumento. La ciberseguridad ya no solo es una cuestión técnica, sino una cuestión que afecta directamente al negocio.
Aquí tienes algunas medidas que cualquier empresa debe implementar para protegerse del ransomware:
- Actualiza los sistemas operativos y aplicaciones: mantener de mantener actualizados todos los sistemas operativos, aplicaciones y software de seguridad con los últimos parches de seguridad disponibles es una de las mejores formas de evitar que un atacante explote una vulnerabilidad para después desplegar un ransomware. Estas actualizaciones suelen contener correcciones para vulnerabilidades conocidas que podrían ser aprovechadas por el ransomware.
- Asegura el perímetro: Implementa soluciones de seguridad confiables, como software EDR, antimalware y firewalls, para proteger los sistemas y redes empresariales contra intrusiones maliciosas. También es importante considerar utilizar soluciones avanzadas que puedan detectar y bloquear el ransomware en tiempo real como un SIEM, o servicios gestionados de seguridad como un CyberSOC.
- Forma a los empleados: Proporciona formación y concienciación en ciberseguridad a tus empleados para que reconozcan las señales de phishing, eviten hacer clic en enlaces o descargar archivos adjuntos de fuentes desconocidas y comprendan las mejores prácticas de seguridad cibernética en el lugar de trabajo.
- Fortifica los sistemas: establece y aplica políticas de seguridad robustas que incluyan la creación regular de copias de seguridad de los datos críticos, la restricción de privilegios de acceso, la gestión de contraseñas seguras y el uso de autenticación de múltiples factores (MFA) para acceder a sistemas sensibles.
- Limita el perímetro: Implementa controles de acceso a la red para limitar el acceso a sistemas y recursos empresariales solo a usuarios autorizados. En este aspecto, una segmentación de red es crucial para evitar propagaciones se un ataque es perpetrado.
- Diseña un plan de contingencia: desarrollar un plan de respuesta a incidentes que incluya pasos claros y procedimientos para detectar, contener y mitigar ataques de ransomware ayudará a reponerse lo antes posible ante un ataque. Asegúrate de tener copias de seguridad actualizadas y probadas regularmente para poder restaurar los datos en caso de un ataque exitoso.
- Realiza auditorias de seguridad periódicas: realizar auditorías regulares de seguridad y pruebas de penetración es crucial para identificar y remediar posibles vulnerabilidades en la infraestructura y los sistemas de la empresa. Estas deben estar planificadas y realizarse cada cierto tiempo para asegurar que no han surgido nuevas vulnerabilidades que un atacante pueda explotar.
¿Cómo podemos ayudarte desde Inforges para protegerte frente al ransomware?
En Inforges somos especialistas de ciberseguridad y contamos con una amplia experiencia y personal altamente cualificado.
Tenemos un extenso porfolio en continua evolución con soluciones que abarcan:
- el análisis: auditorias de seguridad y pentesting.
- la detección y respuesta: CyberSOC y sistemas EDR.
- la prevención: firewalls perimetrales, segmentación de red, MFA, etc.
- y la recuperación: sistemas de Backup inmutable o equipo de DFIR.
Somos capaces de ofrecer respuesta a todas las necesidades que una empresa necesite en materia de ciberseguridad y así ayudar a las organizaciones a prevenir y combatir el ransomware.
Un poco de historia del ransomware
Aunque muchas veces se da por hecho que el ransomware es una amenaza relativamente moderna, ya que utiliza complejos sistemas de cifrado, pagos en criptomonedas, etc., la historia del ransomware se remonta a finales de los años 80 y ha evolucionado significativamente hasta convertirse en una de las amenazas cibernéticas más importantes de la actualidad. Aquí tienes un resumen de su evolución a lo largo del tiempo:
1989: PC Cyborg (AIDS Trojan). Considerado el primer ransomware de la historia, el PC Cyborg, también conocido como AIDS Trojan, fue creado por Joseph Popp. Se distribuía a través de disquetes y cifraba los nombres de los archivos en el sistema, exigiendo un pago de $189 a una dirección en Panamá para restaurar el acceso.
A mediados de los 2000, surgieron nuevas variantes de ransomware que bloqueaban archivos y exigían pagos de rescate. Un ejemplo notable es el ransomware Gpcode, que utilizaba un cifrado débil que pudo ser revertido por los investigadores de seguridad.
En el año 2010 surge Winlock. Esta versión de ransomware bloqueaba el acceso a las computadoras mostrando una ventana de pornografía y exigiendo el pago de una multa falsa para desbloquearla. Fue particularmente prevalente en Rusia.
En el 2011, Reveton introdujo el modelo de «policía» ransomware, donde se hacían pasar por agencias de aplicación de la ley, acusando falsamente a las víctimas de actividades ilegales y exigiendo el pago de una multa.
En 2023, CryptoLocker fue un punto de inflexión en la historia del ransomware. Utilizaba un cifrado fuerte (RSA-2048) y se distribuía a través de correos electrónicos de phishing y botnets. Los rescates se exigían en Bitcoin, lo que complicaba el rastreo de los pagos.
Después del desmantelamiento de CryptoLocker, En el 2014 CryptoWall tomó su lugar como una de las variantes más comunes de ransomware, utilizando técnicas de cifrado similares y distribuyéndose ampliamente.
En el 2016 surgió Locky. Locky se propagó rápidamente a través de correos electrónicos de phishing y campañas de malware, cifrando archivos en numerosos formatos y exigiendo rescates en Bitcoin.
En 2017 WannaCry explotó una vulnerabilidad en el protocolo SMB de Microsoft Windows conocida como EternalBlue, afectando a más de 200,000 computadoras en 150 países. Se destacaron organizaciones de salud, como el NHS del Reino Unido, entre las víctimas.
En ese mismo año, y originalmente considerado ransomware, NotPetya fue más un ataque destructivo disfrazado de ransomware. Afectó principalmente a empresas en Ucrania y causó daños significativos a nivel mundial.
En 2018 comenzó la industrialización del ransomware con la aparición de Ryuk. Este destacó por sus ataques dirigidos a grandes organizaciones y gobiernos, demandando rescates significativos. A menudo se distribuía en combinación con otros tipos de malware, como TrickBot y Emotet.
Al año siguiente, en 2019, REvil, también conocido como Sodinokibi, se convirtió en uno de los ransomware más notorios, afectando a una amplia gama de industrias y exigiendo rescates elevados. Fue responsable de ataques destacados contra grandes empresas y entidades gubernamentales.
A partir del 2020. DoppelPaymer y Maze introdujeron la práctica de la «doble extorsión», donde además de cifrar los datos, los atacantes amenazaban con publicar la información robada si no se pagaba el rescate.
En la actualidad han surgido multitud de variantes y grupos de ciberciminales. Por nombrar alguno, ransomware como Lockbit usan técnicas de triple extorsión, la cual La triple extorsión combina tres métodos de presión para maximizar el impacto y las posibilidades de pago del rescate tales como cifrado, filtración y extorsión a terceros
Preguntas frecuentes sobre el ransomware
Dado que surgen muchas dudas sobre este malware, a continuación, respondemos algunas preguntas básicas:
¿El ransomware es un virus?
Un ransomware no es un virus. Aunque ambos pueden considerarse como “malware”, el ransomware se centra en la extorsión económica, mientras que los virus buscan propagarse e infectar otros archivos y sistemas.
¿Por qué cada vez hay más ataques de ransomware?
El aumento de los ataques de ransomware se debe a una combinación de factores:
- la alta rentabilidad para los atacantes
- el fácil acceso a herramientas de ransomware (Ransomware as a Service)
- la creciente dependencia de la tecnología digital
- las vulnerabilidades persistentes en los sistemas
- la falta de educación en ciberseguridad
- la insuficiente inversión en medidas de protección
- la constante innovación en los métodos de ataque
- y la impunidad en ciertas jurisdicciones.
¿Cuál es el efecto en la empresa del ransomware?
La ciberseguridad no es un gasto, es una inversión. El efecto de un ransomware en una empresa puede ser devastador, ya que afecta directamente a sus operaciones, finanzas, reputación, y personal. Las empresas deben adoptar una estrategia integral de ciberseguridad para prevenir ataques y mitigar sus efectos, incluyendo medidas preventivas, planes de respuesta a incidentes y programas de educación continua para empleados.
¿Cuál es la mejor medida que puede adoptar una empresa frente al ransomware?
La mejor medida que puede adoptar una empresa frente al ransomware es implementar una estrategia integral de ciberseguridad que incluya una combinación de prevención, detección, respuesta y recuperación.
¿Te protegen los firewalls del ransomware?
Los firewalls son una parte importante contra la defensa del ransomware, pero no ofrecen una protección completa, funcionan mejor como parte de una estrategia integral de ciberseguridad
¿Qué servicios debe contratar mi empresa para protegerse del ransomware?
Combatir el ransomware es una ardua tarea que requiere que la empresa invierta en servicios de ciberseguridad tales como:
- Servicios de seguridad gestionada que incluyan monitoreo continuo, detección y respuesta a amenazas (CyberSOC).
- Además, es crucial implementar soluciones de seguridad como firewalls avanzados, EDR, así como servicios de protección de correo electrónico.
- No debemos olvidar la formación en ciberseguridad, incluyendo programas de concienciación del usuario y simulaciones de phishing.
- Por otro lado, se deben realizar auditorías de seguridad periódicas y pruebas de penetración para identificar y remediar posibles vulnerabilidades.