¿Qué es el ransomware?

Es un tipo de software malintencionado (malware) que amenaza con bloquear el acceso a un sistema o a datos informáticos, normalmente mediante el cifrado, hasta que la víctima paga una suma al atacante. En muchos casos, la exigencia del rescate viene con una fecha límite. Si la víctima no paga a tiempo, los datos se borran de forma permanente o el rescate se incrementa.

Los ataques de ransomware se han vuelto sumamente comunes hoy en día. Grandes empresas, tanto en Norteamérica como en Europa, han sido víctimas de estos. Los ciberdelincuentes atacan a cualquier consumidor o empresa, y hay víctimas prácticamente en todos los sectores.

Diversas agencias gubernamentales, como el FBI, sugieren no pagar el rescate para no fomentar la continuidad del ciclo del ransomware, al igual que el No More Ransom Project (en español: “Proyecto No Más Ransom”). Además, la mitad de las víctimas que pagan un rescate tienen probabilidad de sufrir nuevamente de ataques de ransomware, especialmente si no se elimina del sistema.

Los orígenes del ransomware se remontan a 1989, cuando el “virus del SIDA” se utilizaba para extorsionar a los receptores de este ataque. Los pagos del ataque se hacían por correo a Panamá, punto momento en el cual al usuario se le enviaba de vuelta una clave por correo postal.

En 1996, al ransomware se le conocía como “extorsión criptoviral”, un concepto presentado por Moti Yung y Adam Young de la Columbia University. Esta idea, originalmente concebida en el mundo académico, ilustraba la progresión, potencia y creación de las herramientas criptográficas modernas. Young y Yung presentaron el primer ataque de criptovirología en la conferencia de Seguridad y Privacidad de la IEEE de 1996. El malware contenía la clave pública del atacante y cifraba los archivos de la víctima. Después, el malware indicaba a la víctima que enviara un texto de cifrado asimétrico al atacante para descifrar y devolver la clave de descifrado... a cambio de una cierta suma.

Los atacantes se han ido volviendo más y más creativos con el pasar de los años, solicitando modos de pago que son prácticamente imposibles de rastrear, cosa que ayuda a los cibercriminales a permanecer anónimos. Por ejemplo, el célebre ransomware Fusob obliga a las víctimas a pagar usando cheques de regalo de Apple iTunes en vez de divisas comunes, como dólares o euros.

Los ataques de ransomware comenzaron a popularizarse con el advenimiento de las criptomonedas, como el Bitcoin. Las criptomonedas son un tipo de moneda digital que usa técnicas de cifrado para verificar y proteger las transacciones y controlar la creación de nuevas unidades. Además del Bitcoin, existen otras criptomonedas populares que los atacantes obligan a sus víctimas a utilizar, como Ethereum, Litecoin y Ripple.

El ransomware ha atacado a organizaciones de prácticamente todos los sectores. Uno de los más famosos fue el que se empleó en los ataques al Presbyterian Memorial Hospital. Este ataque puso de manifiesto el gran potencial del ransomware para causar riesgos y daños. Laboratorios, farmacias y salas de urgencias resultaron afectados.

Los atacantes de ingeniería social se han vuelto más innovadores con el tiempo. El diario The Guardian publicó un artículo acerca de una situación en la que a las nuevas víctimas del ransomware se les pedía que hiciesen que dos usuarios más instalasen el enlace y pagasen un rescate para descifrar sus archivos.

Al aprender más acerca de los principales ataques indicados a continuación, las organizaciones pueden adquirir valiosos conocimientos acerca de las tácticas, vulnerabilidades explotables y características de la mayoría de los ataques. Si bien sigue habiendo variaciones en el código, los objetivos y las funciones del ransomware, la innovación en los ataques suele ocurrir de manera gradual.

• WannaCry: Una poderosa vulnerabilidad de Microsoft fue aprovechada para crear un gusano de ransomware que logró infectar a 250.000 sistemas a nivel mundial antes de que se activase un killswitch (interruptor de seguridad) para evitar su propagación. Proofpoint participó en la determinación de la muestra usada para encontrar el killswitch y deconstruir el ransomware.
• CryptoLocker: Este fue uno de los primeros representantes de la generación actual de ransomware, que exigía pagos en criptomonedas (bitcóin) y que encriptaba el disco duro del usuario y también los dispositivos conectados a la red. El Cryptolocker se propagaba mediante un correo electrónico con un archivo adjunto que, afirmaba, contenía notificaciones de FedEx o de UPS. En 2014 se lanzó una herramienta de descifrado para remediar esto. Sin embargo, diversos informes sugieren que CryptoLocker logró extorsionar más de 27 millones de USD.
• NotPetya: Considerado uno de los ataques más dañinos, NotPetya empleaba tácticas de su homónimo, Petya, como el infectar y cifrar el registro de arranque principal de un sistema basado en Microsoft Windows. NotPetya aprovechaba la misma vulnerabilidad del WannaCry para diseminarse rápidamente, exigiendo un pago en Bitcoin para deshacer los cambios. Se ha clasificado como un “eliminador” (en inglés: wiper), porque NotPetya no puede deshacer sus cambios al registro de arranque principal y vuelve irrecuperable al sistema objetivo.
• Bad Rabbit: Considerado como un “primo” de NotPetya, y usando un código y vulnerabilidades explotables similares para propagarse, Bad Rabbit era un ransomware visible que afectó principalmente a empresas de medios de comunicaciones en Rusia y Ucrania. A diferencia de NotPetya, Bad Rabbit sí permitía el descifrado si se pagaba el rescate. La mayoría de los casos indican que se propagaba mediante una actualización falsa de Flash player que impactaba a los usuarios mediante un ataque “drive-by”.
• REvil: REvil fue creado por un grupo de atacantes motivados por el afán de lucro. Exfiltra los datos antes de cifrarlos, de modo que las víctimas puedan ser extorsionadas para que paguen si optan por no enviar el rescate. El ataque surgió de un software de gestión de TI comprometido que se usó para una modificación en la infraestructura de Windows y Mac- Los atacantes lograron comprometer el software Kaseya para que inyectase el ransomware REvil en sistemas corporativos.
• Ryuk: Ryuk es una aplicación de ransomware que se distribuye manualmente y que se emplea principalmente en ataques de spear phishing. Los destinatarios son seleccionados cuidadosamente empleando el reconocimiento. A las víctimas se les envían mensajes de correo electrónico, para después proceder a cifrar todos los archivos alojados en el sistema infectado.

El ransomware es un tipo de malware diseñado para extorsionar dinero a sus víctimas, quienes están bloqueadas o impedidas de acceder a los datos en sus sistemas. Los dos tipos más frecuentes son los cifradores y los bloqueadores de pantalla. Los cifradores, como su nombre sugiere, cifran los datos en un sistema para que el contenido quede inutilizado si no se tiene la clave de descifrado. Los bloqueadores de pantallas, por otra parte, simplemente bloquean el acceso al sistema con una pantalla de “bloqueo”, afirmando que el sistema está cifrado.

Figura 1: cómo intenta engañar el ransomware a su víctima para que lo instale

Las víctimas suelen ser notificadas en una pantalla de bloqueo (muy común tanto en los cifradores como en los bloqueadores de pantalla) de que deben comprar una criptomoneda, como el Bitcoin, para pagar el rescate. Una vez pagado el rescate, los clientes reciben la clave de descifrado y pueden intentar descifrar los archivos. El descifrado no está garantizado, y hay múltiples fuentes que reportan diferentes niveles de éxito con el descifrado después de pagar los rescates. A veces las víctimas simplemente no llegan a recibir las claves. Algunos ataques instalan el malware en el sistema informático incluso después de haberse pagado el rescate y liberados los datos.

Si bien originalmente estaba diseñado para ordenadores personales, el ransomware de cifrado se orienta cada vez más a usuarios empresariales, porque las empresas suelen estar dispuestas a pagar más dinero para desbloquear sus sistemas clave y poder reanudar sus operaciones que los individuos.

Las infecciones de ransomware empresarial suelen comenzar por un correo electrónico malintencionado. Un usuario desprevenido abre un archivo adjunto o hace clic en una URL malintencionada o que ha quedado comprometida.

En ese momento se instala un agente de ransomware, que comienza a cifrar archivos clave en la PC de la víctima y cualquier unidad con la que las comparta. Después de cifrar los datos, se muestra un mensaje en el dispositivo infectado. El mensaje explica lo que ha sucedido y cómo pagarles a los atacantes. Entonces se informa a la víctima que, después del pago, recibirá un código para desbloquear sus datos.

Cualquier dispositivo conectado a internet está en riesgo de convertirse en la próxima víctima. El ransomware escanea un dispositivo local y cualquier tipo de almacenamiento que esté conectado a la red, lo que implica que un dispositivo vulnerable también convierte a la red local en una potencial víctima. Si la red local es una empresa, el ransomware podría encriptar importantes documentos y archivos de sistema que podrían detener la prestación de servicios y la productividad.

Si un dispositivo se conecta a internet, debe estar actualizado con las más recientes revisiones (o “parches”) de seguridad, y debe tener instalado software antimalware que sea capaz de detectar y detener al ransomware. Los sistemas operativos antiguos que ya no reciben mantenimiento por parte del fabricante, como Windows XP, tiene un nivel de riesgo mucho mayor.

Una empresa que resulta víctima del ransomware puede perder miles de dólares por concepto de productividad y datos perdidos. Los atacantes con acceso a los datos extorsionan a las víctimas para que paguen el rescate amenazándolos con liberar los datos y exponer la filtración al público, así que las organizaciones que no paguen lo suficientemente rápido podrían sufrir efectos secundarios, como daños a la imagen y litigios legales.

El ransomware interrumpe la productividad, así que el primer paso siempre es la contención. Después de la contención, la organización puede o restaurar los datos a partir de respaldos, o pagar el rescate. Las autoridades llevan a cabo las investigaciones del caso, pero determinar quiénes son los autores, precisa de dilatadas investigaciones que no hace más que retrasar la recuperación. Los análisis de causa raíz identifican la vulnerabilidad, pero cualquier retraso en la recuperación afecta negativamente a la productividad y a los ingresos empresariales.

En vista de que cada vez más gente trabaja desde casa, los autores de las amenazas han incrementado su uso del phishing. El phishing es un punto de partida para las infecciones de ransomware. El correo electrónico de phishing ataca a los empleados, tanto a los de alto nivel de privilegios como a los de privilegios básicos. El correo electrónico es barato y fácil de usar, lo que lo convierte en una herramienta muy conveniente para los atacantes.

Los documentos suelen compartirse por correo electrónico, así que los usuarios no suelen pensárselo dos veces antes de abrir un archivo adjunto. La macro malintencionada se ejecuta, descarga el ransomware al dispositivo local y después implanta la carga útil. La facilidad de propagación en el correo electrónico explica por qué es un ataque de malware tan común.

Los ataques más sofisticados son creados usando nuevas versiones del malware. Las variantes usan la base de código de una versión de ransomware existente y la alteran justo lo necesario para que las funciones cambien la carga útil y el método de ataque. Los autores pueden personalizar su malware para ejecutar cualquier ataque y usar su cifra de encriptación preferida.

Los atacantes no siempre son los autores. Algunos creadores venden o alquilan su software a otros. El ransomware se puede alquilar en forma de malware-como-servicio (MaaS, del inglés “malware-as-a-service”) en el que los clientes se identifican en un panel de control y lanzan sus propias campañas. Por lo tanto, los atacantes no siempre son programadores o expertos en malware. También hay individuos que pagan a los autores para alquilar el ransomware.

Después de que el ransomware cifra los archivos, muestra una pantalla al usuario en la que se anuncia que los archivos están cifrados y la cantidad de dinero que hay que pagar para recuperarlos. En general, a la víctima se le da una cantidad de tiempo límite, o el rescate se incrementa. Los atacantes también pueden amenazar con exponer a las empresas y anunciar públicamente que han sido víctimas del ransomware.

El mayor riesgo de pagar es nunca recibir de vuelta las claves de cifrado para descifrar los datos. La organización se queda sin el dinero y sin las claves. La mayoría de los expertos aconsejan no pagar el rescate para no perpetuar los beneficios monetarios de los atacantes, pero muchas organizaciones no tienen elección. Los autores requieren de la realización de pagos en criptomonedas, así que la transferencia de dinero no se puede revertir.

La carga útil del ransomware es inmediata. El malware muestra un mensaje al usuario con las instrucciones de pago y la información acerca de lo que ha ocurrido con los archivos. Es importante que los administradores reaccionen rápido, porque algunos ransomware intentan diseminarse a otras ubicaciones dentro de la red para encontrar archivos críticos en escaneos adicionales. Hay algunos pasos básicos para responder adecuadamente al ataque, pero suele ser necesaria la intervención de expertos para hacer el análisis de causa raíz, limpieza e investigaciones pertinentes.

• Determinar qué sistemas han sido afectados. Es necesario aislar los sistemas para que no puedan afectar al resto del entorno. Este paso es parte de una estrategia de contención que minimizará el daño al entorno.
• Desconecte los sistemas y apáguelos si es necesario. El ransomware se propaga rápidamente en la red, así que cualquier sistema debe desconectarse, ya sea desactivando el acceso a la red o apagándolo.
• Priorice la restauración de los sistemas de modo que los más importantes puedan regresar a la normalidad más rápidamente. En general, la prioridad la determina la productividad y el impacto en los ingresos.
• Erradique la amenaza desde la red. Los atacantes pueden usar puertas traseras, así que la erradicación debe realizarla un experto confiable. El experto debe acceder a los registros para poder realizar un análisis de causa raíz y determinar cuál fue la vulnerabilidad explotada y qué sistemas fueron afectados.
• Haga que un profesional revise el entorno para determinar qué potenciales actualizaciones de seguridad es necesario hacer. Suele suceder que a una víctima se le lance un segundo ataque. Si la vulnerabilidad no se identifica, es posible explotarla de nuevo.

Uno de los principales motivadores del incremento en las amenazas basadas en ransomware es el teletrabajo. La pandemia generó una nueva manera de trabajar a nivel mundial. Los teletrabajadores son mucho más vulnerables a las amenazas. Los teletrabajadores no tienen el nivel de ciberseguridad de calidad corporativa necesario para protegerse de ataques sofisticados, y muchos de estos usuarios utilizan sus dispositivos para uso profesional y para uso laboral simultáneamente. Como este malware es capaz de escanear la red en busca de dispositivos vulnerables, los ordenadores personales infectados con malware también pueden infectar equipos empresariales conectados a redes.

La prevención de los ataques típicamente implica la configuración y prueba, así como la aplicación de protección contra ransomware en herramientas de seguridad. Las herramientas de seguridad, tales como las pasarelas de seguridad en correo electrónico son la primera línea de defensa, mientras que los puntos finales son la defensa secundaria. Los sistemas de detección de intrusiones (IDS) a veces se usan para detectar operaciones de “comando y control” del ransomware para alertar de un malware que pretende hacer una llamada a un servidor de control. La capacitación de los usuarios es importante, pero es tan solo una de las “capas” de defensa necesarias para protegerse, y entra en juego después de la entrega del ransomware mediante phishing de correo electrónico.

Una medida de respaldo, en caso de que fallen otras defensas preventivas, es hacer acopio de bitcóines. Esto es más frecuente en los casos en que los daños directos pudiesen impactar a los usuarios en la firma afectada. Los hospitales y el sector de hostelería tienen un riesgo particularmente elevado de ataque, puesto que las vidas de los pacientes podrían verse afectadas o las personas podrían verse atrapadas fuera o dentro de las instalaciones.

Cómo evitar ataques de ransomware

• Proteja su correo electrónico: El phishing y el spam por correo electrónico son los principales métodos de distribución de ransomware. Las pasarelas de seguridad con protección contra ataques dirigidos son cruciales para detectar y bloquear mensajes malintencionados que entregan ransomware. Esas soluciones protegen contra archivos adjuntos, documentos malintencionados y direcciones URL que vienen en mensajes entregados en los ordenadores de los usuarios.
• Proteja sus dispositivos móviles: Si se usan junto con herramientas de administración de dispositivos móviles (MDM), los productos de protección contra ataques para dispositivos móviles de ese tipo pueden analizar las aplicaciones que haya en los dispositivos de sus usuarios y alertarlos de inmediato, tanto a ellos como al departamento de TI, acerca de cualquier aplicación que pudiera poner en riesgo su entorno.
• Proteja su navegación en internet: Las puertas de enlace de seguridad pueden escanear el tráfico de navegación por internet de los usuarios que los lleve a actividades inusuales de acceso de archivos, tráfico C&C de red y cargas de CPU, posiblemente a tiempo para bloquear el ransomware antes de que se active.
• Monitorice su servidor y su red, y respalde los sistemas clave: las herramientas de monitorización pueden detectar actividades inusuales de acceso a archivos, virus, tráfico de C&C en las redes y cargas en las CPU, posiblemente a tiempo para bloquear la activación del ransomware. Conservar una copia de imagen total de los sistemas principales puede reducir el riesgo de que una máquina se bloquee o se cifre, lo cual causaría un enorme cuello de botella en las operaciones.

Cómo eliminar el ransomware

• Comuníquese con las autoridades federales y locales: así como llamaría a las autoridades federales en caso de un secuestro, las organizaciones deben comunicarse con las mismas autoridades en caso de ransomware. Los técnicos forenses pueden examinar sus sistemas a fin de asegurarse de que no se encuentren bajo ningún otro tipo de riesgo, recolectar información para que usted quede mejor protegido en lo sucesivo y tratar de buscar a los atacantes.

Recuperación ante el ransomware

• Conozca más acerca de los recursos antiransomware: No More Ransom y Bleeping Computer ofrecen consejos, sugerencias y hasta algunos descifradores para ciertos ataques.
• Restauración de datos: las organizaciones que han seguido buenas prácticas y tienen respaldos de sus sistemas, pueden restaurar rápidamente sus sistemas y reanudar sus operaciones.

Las siguientes estadísticas de ransomware ilustran la extensión de la epidemia y los miles de millones en costes que les han supuesto a sus víctimas. Para mantenerse al día con las más recientes estadísticas de ransomware, también puede darle un vistazo al blog de Proofpoint.