- 7 Mayo, 2021
- in Ciberseguridad
- 760
Contenido
La variedad en ataques de los ciberpiratas cada día va en aumento, pero uno de los ejemplos menos explorados son los ransomware.
A pesar de que las cifras de ataques de ransomware han estado disminuyendo en los últimos años, según se demuestra en la encuesta de Sophos Cybersecurity; la característica del ataque representa un riesgo a largo plazo y de mayor agresividad porque no discrimina ningún tipo de usuario final.
En esta encuesta participaron alrededor de 5400 organizaciones, de las cuales se promedio que el 37% habían sido afectadas por ransomware; aunque se puede observar que hay cifras individuales que alcanzan al 68% en cuanto a prevalencia de estos ataques sobre otros más conocidos.
También se puede acotar que la mayoría de los ataques ocurrieron en países industrializados o en vías de desarrollo; sin dejar atrás a economías emergentes Asia y América.
Ransomware es una amenaza que ha disminuido sus ataques de 2020 al 2021 en un 20% aproximadamente, pero es una alarma latente en la ciberseguridad.
Contenido
Para la empresa desarrolladora de antivirus Eset, un ransomware es un tipo de programa malicioso que se aloja en un dispositivo tecnológico específico (computador, laptop, servidores, estaciones de trabajo, etc.) y se activa para extorsionar a los usuarios del mismo.
Una vez que el virus ataca con éxito el equipo, bloquea la pantalla o cifra la información almacenada en el disco; de esta forma puede realizar la extorsión de la víctima y lograr el pago por el rescate de la información..
La característica más resaltante en un ransomware es que no se destruye información para debilitar una empresa en cuanto a datos, sino que se ataca financieramente en tiempo.
El portal Ransomware Help define otra característica como es la suplantación de identidad a través de un spam o correo no deseado, con un virus anexo como archivo.
A través de este método, trata de hacer phishing (capturar algunos usuarios incautos entre todos los posibles), que ejecuten el virus anexo y activen el ransomware.
El ransomware utiliza un cifrado de datos mediante algoritmos RSA, RC4 y AES que solo conoce el delincuente y a través del cual logra su extorsión.
En el informe emitido por Fortinet sobre el Mapeo del panorama de los ransomware, indica que se espera un impacto global de 20 billones de dólares en posibles pérdidas por estos ataques.
Estos ataques buscan provocar posibles costos indirectos con la interrupción del negocio, donde el empresario se vea en la necesidad de pagar el rescate.
En la actualidad, muchas empresas dependen de minutos o segundos para marcar la diferencia en ganancias o pérdidas, como es el caso de la banca y las transacciones en Criptomonedas.
Fortinet también define los principales medios a través de los cuales se propaga un ransomware como lo son:
De allí, se determina que la mayoría de los ataques de ransomware ocurren por descuido del usuario o falta de entrenamiento en su puesto de trabajo.
De la misma forma como evolucionan los distintos virus informáticos, los ransomware también están mutando a nuevas versiones cada vez más peligrosas.
En la actualidad existen versiones de estos malware que no solo atacan computadoras o laptops para secuestrar información, sino también sistemas de control para bloquear procesos de encendido o apagado de un servicio u operación.
Es crucial mencionar que, según Fortinet, estos virus tienen un código polimorfo que les permite cambiar o variar su firma digital.
Al mutar, el ransomware se hace indetectable a la lista negra de formas de un software de antivirus común, y de allí su peligrosidad.
Después de la aparición del ransomware AIDSInfo Disk a final de los años 80, han surgido muchos otros ataques, que han afectado en mayor o menor grado a las empresas.
En estos momentos existen más de 1.100 variantes de ransomware disponibles para ser compradas o adquiridas para atacar a empresas y usuarios privados.
El portal digital de Noticias. LTDA menciona los 10 más relevantes ransomware conocidos:
Aparece en 2013, y es pionero en la diseminación del ransomware a gran escala. Se distribuye como un spam, utilizando un archivo anexo del Gameover ZeuS botnet.
Utiliza encriptación de RSA. Ha infectado a más de 500.000 computadoras usando los clones CryptoWall, Crypt0L0cker y TorrentLocker.
Está orientado a archivos auxiliares relacionados con videojuegos, como juegos guardados, mapas, contenido descargable y otros tipos similares; donde los usuarios descargan estos archivos pensando que son actualizaciones que usan.
En el 2016, TeslaCrypt fue el causante del 48% de los ataques de ransomware a nivel mundial. El rescate de encriptación se cobra en Bitcoins.
Aparece entre 2015 y el 2016,y centró sus ataques en dispositivos móviles con sistema Android, descargando troyanos como si fueran Apps. Una vez instalado, escanea el dispositivo y utiliza el cifrado AES para cambiar la extensión del archivo a .ENC.
Puede también acceder a la cámara y mostrar fotos tomadas a la víctima para asustarla. En la actualidad hay muchas sugerencias de cómo prevenirlo.
Utiliza un cifrado RSA avanzado y se distribuye como un RaaS o programa de afiliación para ciberdelincuentes. Se puede comprar en la darknet por un 40% de las ganancias del rescate.
Se dirigía a usuarios de Office 365 en la nube a través de un correo de Microsoft Office infectado. En su momento, llegó a representar el 26% de todos los ataques de ransomware.
Los primeros ataques aparecieron a finales del 2015. Su principal destino de ataque fueron los servidores y aplicaciones Java y FTP, donde podía obtener acceso a la red de la víctima.
Se estableció que los ataques son dirigidos manualmente, donde el ciberdelincuente analizaba la información y de ello, dependía la cifra del rescate.
Es uno de los más dañinos y que han causado más desastres en la historia. En el 2017 afectó a más de 200 mil usuarios (entre empresas, instituciones y público en general).
Se aprovechó de una vulnerabilidad de Microsoft y su pago lo solicitó en 300 dólares por usuarios, que se duplica una vez vencida la fecha de pago.
Aparece posterior a Wanna Cry, y se aprovecha de la misma falla de seguridad de Microsoft. Se propagó en Europa del este y sobre correo electrónico, adjuntando un archivo con las extensiones .doc, .xls, .ppt o .pdf.
El malware se va instalando paulatinamente y encripta los archivos hasta dejar inutilizable el equipo, solicitando 300 dólares en bitcoins para el rescate.
Muy parecido a los dos anteriores, pero se instala como una actualización de Adobe Flash. Ha afectado a Rusia y Europa Oriental.
Se propaga a través de descargas automáticas en sitios web comprometidos donde se ha insertado en un código HTML o en archivos Java utilizando JavaScript.
Una vez instalado y encriptada la información, solicita un rescate por 280 dólares.
Está orientado a organizaciones que pueden pagar mucho dinero para evitar perder tiempo de espera de recuperación.
Utiliza algoritmos tipo militares muy potentes como RSA4096 y AES-256. Puede deshabilitar la opción “Restaurar sistema” de Windows en computadoras infectadas.
Utiliza el modelo de RaaS para su distribución y se caracteriza por ocultarse tras macros de Excel y VBscript. Solicita el rescate entre $500 y $600 dólares, y ha logrado infectar unos 48 mil nodos en un solo mes en promedio.
Tal vez te interese leer: ¿Qué son los vectores de ciberseguridad?
Cada uno de los ransomware descrito anteriormente describe las características de los mismos y algunas consecuencias de estos ataques.
Pero específicamente, se puede mencionar que la consecuencia directa es la pérdida de datos o información durante el proceso de secuestro o encriptado.
Ransomware Help menciona, entre otras consecuencias asociadas, y que representan la realidad del problema a las siguientes:
Los ataques por ransomware durante el 2020 superaron los 11.000 millones de dólares en donde se pudo medir un ataque cada 15 segundos.
Para este año 2021 se estima menos ataques, pero de mayor efectividad en el pago de rescates, como en el área de educación y salud, por la vulnerabilidad en sus servicios y aplicaciones, y por el uso constante de internet en sus procesos.
Tal vez te interese leer: ¿Cómo detener un ataque de Ransomware?
Aquí es donde se deben tomar claramente las medidas para prevenir y mitigar los daños colaterales que puede sufrir la organización.
Considerando en análisis de la encuesta de Sophos Cybersecurity, se puede mencionar las siguientes recomendaciones: