La variedad en ataques de los ciberpiratas cada día va en aumento, pero uno de los ejemplos menos explorados son los ransomware.

A pesar de que las cifras de ataques de ransomware han estado disminuyendo en los últimos años, según se demuestra en la encuesta de Sophos Cybersecurity; la característica del ataque representa un riesgo a largo plazo y de mayor agresividad porque no discrimina ningún tipo de usuario final.

En esta encuesta participaron alrededor de 5400 organizaciones, de las cuales se promedio que el 37% habían sido afectadas por ransomware; aunque se puede observar que hay cifras individuales que alcanzan al 68% en cuanto a prevalencia de estos ataques sobre otros más conocidos.

También se puede acotar que la mayoría de los ataques ocurrieron en países industrializados o en vías de desarrollo; sin dejar atrás a economías emergentes Asia y América.

Ransomware es una amenaza que ha disminuido sus ataques de 2020 al 2021 en un 20% aproximadamente, pero es una alarma latente en la ciberseguridad.

¿Qué es un ransomware?

Para la empresa desarrolladora de antivirus Eset, un ransomware es un tipo de programa malicioso que se aloja en un dispositivo tecnológico específico (computador, laptop, servidores, estaciones de trabajo, etc.) y se activa para extorsionar a los usuarios del mismo.

Una vez que el virus ataca con éxito el equipo, bloquea la pantalla o cifra la información almacenada en el disco; de esta forma puede realizar la extorsión de la víctima y lograr el pago por el rescate de la información..

¿Características de un ransomware?

La característica más resaltante en un ransomware es que no se destruye información para debilitar una empresa en cuanto a datos, sino que se ataca financieramente en tiempo.

El portal Ransomware Help define otra característica como es la suplantación de identidad a través de un spam o correo no deseado, con un virus anexo como archivo.

A través de este método, trata de hacer phishing (capturar algunos usuarios incautos entre todos los posibles), que ejecuten el virus anexo y activen el ransomware.

El ransomware utiliza un cifrado de datos mediante algoritmos RSA, RC4 y AES que solo conoce el delincuente y a través del cual logra su extorsión.

En el informe emitido por Fortinet sobre el Mapeo del panorama de los ransomware, indica que se espera un impacto global de 20 billones de dólares en posibles pérdidas por estos ataques.

Estos ataques buscan provocar posibles costos indirectos con la interrupción del negocio, donde el empresario se vea en la necesidad de pagar el rescate.

En la actualidad, muchas empresas dependen de minutos o segundos para marcar la diferencia en ganancias o pérdidas, como es el caso de la banca y las transacciones en Criptomonedas.

Principales medios de propagación de Ransomware

Fortinet también define los principales medios a través de los cuales se propaga un ransomware como lo son:

1. Enlaces de email falsos, 31%
2. Archivos anexo a Emails, 28%
3. Archivos descargados de páginas web, 24%
4. Origen desconocido, 9%
5. Redes sociales, 4%
6. Aplicaciones de negocios, 1%

De allí, se determina que la mayoría de los ataques de ransomware ocurren por descuido del usuario o falta de entrenamiento en su puesto de trabajo.

Tipos de ransomware

De la misma forma como evolucionan los distintos virus informáticos, los ransomware también están mutando a nuevas versiones cada vez más peligrosas.

En la actualidad existen versiones de estos malware que no solo atacan computadoras o laptops para secuestrar información, sino también sistemas de control para bloquear procesos de encendido o apagado de un servicio u operación.

• Off-the-Shelf Ransomware. Es un tipo de ransomware standard que se puede adquirir de forma libre en la darknet e instalar en un servidor. La función principal es piratear datos y cifrar información de clientes dirigido desde un servidor del delincuente.
• Ransomware-as-a-Service (RaaS). Son paquetes de programas que se venden como un servicio para piratear, donde se puede producir un archivo ejecutable que puede generar un rescate en criptomonedas. Son usados en operaciones en la nube.
• Ransomware Affiliate Programs. Es un modelo de un RaaS, que se aprovecha del historial de búsqueda del dispositivo para esparcir el virus.
• Attacks on IoT Devices. Es un ransomware que ataca específicamente sistemas de control de los dispositivos conectados a internet, y secuestra sus funciones hasta que se pague el rescate.

Es crucial mencionar que, según Fortinet, estos virus tienen un código polimorfo que les permite cambiar o variar su firma digital.

Al mutar, el ransomware se hace indetectable a la lista negra de formas de un software de antivirus común, y de allí su peligrosidad.

Top 9: Ransomware más conocidos

Después de la aparición del ransomware AIDSInfo Disk a final de los años 80, han surgido muchos otros ataques, que han afectado en mayor o menor grado a las empresas.

En estos momentos existen más de 1.100 variantes de ransomware disponibles para ser compradas o adquiridas para atacar a empresas y usuarios privados.

El portal digital de Noticias. LTDA menciona los 10 más relevantes ransomware conocidos:

1. Cryptolocker

Aparece en 2013, y es pionero en la diseminación del ransomware a gran escala. Se distribuye como un spam, utilizando un archivo anexo del Gameover ZeuS botnet.

Utiliza encriptación de RSA. Ha infectado a más de 500.000 computadoras usando los clones CryptoWall, Crypt0L0cker y TorrentLocker.

2. TeslaCrypt

Está orientado a archivos auxiliares relacionados con videojuegos, como juegos guardados, mapas, contenido descargable y otros tipos similares; donde los usuarios descargan estos archivos pensando que son actualizaciones que usan.

En el 2016, TeslaCrypt fue el causante del 48% de los ataques de ransomware a nivel mundial. El rescate de encriptación se cobra en Bitcoins.

3. SimpleLocker

Aparece entre 2015 y el 2016,y centró sus ataques en dispositivos móviles con sistema Android, descargando troyanos como si fueran Apps. Una vez instalado, escanea el dispositivo y utiliza el cifrado AES para cambiar la extensión del archivo a .ENC.

Puede también acceder a la cámara y mostrar fotos tomadas a la víctima para asustarla. En la actualidad hay muchas sugerencias de cómo prevenirlo.

3. Cerber

Utiliza un cifrado RSA avanzado y se distribuye como un RaaS o programa de afiliación para ciberdelincuentes. Se puede comprar en la darknet por un 40% de las ganancias del rescate.

Se dirigía a usuarios de Office 365 en la nube a través de un correo de Microsoft Office infectado. En su momento, llegó a representar el 26% de todos los ataques de ransomware.

4. SamSam

Los primeros ataques aparecieron a finales del 2015. Su principal destino de ataque fueron los servidores y aplicaciones Java y FTP, donde podía obtener acceso a la red de la víctima.

Se estableció que los ataques son dirigidos manualmente, donde el ciberdelincuente analizaba la información y de ello, dependía la cifra del rescate.

5. WannaCry

Es uno de los más dañinos y que han causado más desastres en la historia. En el 2017 afectó a más de 200 mil usuarios (entre empresas, instituciones y público en general).

Se aprovechó de una vulnerabilidad de Microsoft y su pago lo solicitó en 300 dólares por usuarios, que se duplica una vez vencida la fecha de pago.

6. Petya y NotPetya

Aparece posterior a Wanna Cry, y se aprovecha de la misma falla de seguridad de Microsoft. Se propagó en Europa del este y sobre correo electrónico, adjuntando un archivo con las extensiones .doc, .xls, .ppt o .pdf.

El malware se va instalando paulatinamente y encripta los archivos hasta dejar inutilizable el equipo, solicitando 300 dólares en bitcoins para el rescate.

7. Bad Rabbit

Muy parecido a los dos anteriores, pero se instala como una actualización de Adobe Flash. Ha afectado a Rusia y Europa Oriental.

Se propaga a través de descargas automáticas en sitios web comprometidos donde se ha insertado en un código HTML o en archivos Java utilizando JavaScript.

Una vez instalado y encriptada la información, solicita un rescate por 280 dólares.

8. Ryuk

Está orientado a organizaciones que pueden pagar mucho dinero para evitar perder tiempo de espera de recuperación.

Utiliza algoritmos tipo militares muy potentes como RSA4096 y AES-256. Puede deshabilitar la opción “Restaurar sistema” de Windows en computadoras infectadas.

9. GandCrab

Utiliza el modelo de RaaS para su distribución y se caracteriza por ocultarse tras macros de Excel y VBscript. Solicita el rescate entre $500 y $600 dólares, y ha logrado infectar unos 48 mil nodos en un solo mes en promedio.

Tal vez te interese leer: ¿Qué son los vectores de ciberseguridad?

Consecuencias de un ataque de ransomware

Cada uno de los ransomware descrito anteriormente describe las características de los mismos y algunas consecuencias de estos ataques.

Pero específicamente, se puede mencionar que la consecuencia directa es la pérdida de datos o información durante el proceso de secuestro o encriptado.

Ransomware Help menciona, entre otras consecuencias asociadas, y que representan la realidad del problema a las siguientes:

• La pérdida o interrupción de la productividad en la empresa.
• La vulneración de la confidencialidad y privacidad de la información.
• Destrucción o pérdida de datos en el intento por rescatarlos.
• Interrupción de las actividades cotidianas.
• Proceso de investigación de forenses informáticos.
• Pérdidas económicas en tiempo y dinero.
• Proceso de borrado y restauración de aplicaciones y datos.
• Daños en la reputación de la empresa.
• Genera una recapacitación de los empleados ante la vulneración.

Los ataques por ransomware durante el 2020 superaron los 11.000 millones de dólares en donde se pudo medir un ataque cada 15 segundos.

Para este año 2021 se estima menos ataques, pero de mayor efectividad en el pago de rescates, como en el área de educación y salud, por la vulnerabilidad en sus servicios y aplicaciones, y por el uso constante de internet en sus procesos.

Tal vez te interese leer: ¿Cómo detener un ataque de Ransomware?

¿Cómo prevenir un ataque de ransomware?

Aquí es donde se deben tomar claramente las medidas para prevenir y mitigar los daños colaterales que puede sufrir la organización.

Considerando en análisis de la encuesta de Sophos Cybersecurity, se puede mencionar las siguientes recomendaciones:

• Tener un personal de IT preparado para procesos de este nivel y cómo actuar ante situaciones similares.
• Poseer un Plan de Recuperación de Desastres (DRP) actualizado y válido ante cualquier incidente mayor.
• Poseer tecnología acorde a la eventualidad. Se sugiere implementar NGFW como lo más recomendable y VPN como solución rápida.
• Tener un excelente socio estratégico como proveedor de servicios tecnológicos, que pueda brindar apoyo y soporte ante estas situaciones.
• Capacitar a todo el personal para evitar que sigan cometiendo los mismos errores de vulnerabilidad en el área de mayor frecuencia de ataques como lo es el phishing en correos y páginas web.