¿Cómo funciona el ransomware? | EasyDMARC

¿Cómo funciona el ransomware?

15 min de lectura
.

El ransomware es una forma de malware malicioso, y su funcionamiento es bastante simple: inicia como un programa malicioso con una alta capacidad de evolución que se esparce rápidamente en todas direcciones y afecta a la mayor cantidad de usuarios posibles, desde usuarios domésticos hasta organizaciones corporativas.

Los piratas cibernéticos utilizan este tipo de software para bloquear el acceso a datos y exigir un rescate para poder restaurarlo. Uno de los primeros ataques documentados fue el incidente de WannaCry en el año 2017; desde entonces los ataques de ransomware han ido escalando y es evidente que esta guerra entre las empresas y organizaciones contra los actores maliciosos apenas está comenzando.

Según un informe del FBI, todos los días se llevan a cabo al menos unos 4000 ataques de ransomware.

Con medidas de seguridad sofisticadas instaladas, mucha gente se pregunta: ¿por qué el ransomware sigue teniendo éxito?

Lee este post para descubrir cómo funciona el ransomware, los ejemplos de ataques más recientes y cómo se propaga el ransomware.

¿Por qué el ransomware tiene tanto éxito?

El ransomware tiene éxito porque los atacantes continuamente están perfeccionando sus tácticas, mientras que por su parte las empresas y organizaciones se les dificulta llevar el ritmo para implementar nuevas y mejoradas prácticas de seguridad, tales como copias de seguridad que no están en línea y protocolos de segmentación de red.

La mayoría de las empresas que son víctimas del ransomware son afectadas en primer lugar porque nunca instalan los parches de seguridad de software actualizados, lo cual facilita que los atacantes comprometan sus redes. Las grandes organizaciones se enfocan más en ataques de alto riesgo persistente o APT (Advanced Persistent Threat, según sus siglas en inglés), sin tomar en cuenta que ataques tan básicos como el ransomware pueden tener peores resultados.

Más allá del aspecto técnico, el ransomware tiene un impacto psicológico tanto en equipos de trabajo como en individuos. Un personal asustado y en vilo es más fácil de manipular, es por eso que tiene tanto éxito este tipo de ataque.

¿Cuáles son los objetivos del ransomware?

Literalmente, cualquier persona que maneja datos confidenciales es un blanco potencial de ataques ransomware; desde pequeñas empresas, mega corporaciones, organizaciones internacionales y cualquier tipo de entidad organizada pueden convertirse en víctimas. Hasta el momento, este tipo de ataques se han centrado más en tipos específicos de industrias más que otras en los últimos años.

La reciente pandemia de COVID-19 dejó una estela de ataques de ransomware que obligó a muchas empresas y organizaciones a cambiar el sistema de trabajo remoto que estaban implementado. Ciertas industrias son más vulnerables a este tipo de ataques, tales como instituciones médicas, financieras y académicas, o empresas de tecnología y agencias gubernamentales.

Entre el año 2019 y 2020, varias instituciones de salud en Canadá fueron víctimas de ransomware, incluida una empresa médica de alto perfil y tres hospitales en Ontario. A principios del 2021, hubo un ataque de ransomware en el oleoducto Colonial, el más grande de Estados Unidos, durante unas horas toda la red de operaciones de este se vio cerrada y la empresa terminó pagando un rescate de 4,4 millones de dólares usando Bitcoin.

Según el Informe de investigaciones de violación de datos realizado por Verizon en el 2021, el ransomware representa al menos el 10% de los ataques que deben enfrentar, lo cual también indica un aumento del doble en la frecuencia de ataques de este tipo con respecto al año anterior.

El informe también advierte que en el 2022 los atacantes de ransomware se volverán más agresivos para alcanzar sus objetivos, por lo que las empresas y organizaciones deben mejorar su seguridad cibernética y adoptar mejores prácticas para la mitigación de riesgos.

Cómo se propaga el ransomware

Para evitar los ataques de ransomware, es importante saber cómo se propaga. El ransomware puede expandirse fácilmente a través de correos phishing, enlaces maliciosos, descargas de unidades de almacenamiento contaminadas y sitios web maliciosos. A continuación, vamos a cubrir cómo se propaga el ransomware para que estés más informado.

Archivos adjuntos en correos electrónicos

Una de las formas más comunes de propagar ransomware es a través de un correo electrónico. Los atacantes sencillamente envían un correo que engaña al usuario para que este le dé clic a la opción de descarga y los archivos adjuntos maliciosos se introducen en tu sistema.

Método de ataque

Los piratas informáticos envían un archivo adjunto en un correo electrónico a sus potenciales víctimas valiéndose de diversos formatos, tales como JPEG, PNG, PDF, Word o un archivo ZIP, con la intención de engañarlos para que hagan clic.

Una vez que el usuario lleva a cabo la descarga del ransomware, los criminales informáticos secuestran el sistema y bloquean la data contenida en este. La mayoría de las veces, los trabajadores de una empresa abren correos legítimos sin pensar, por lo que los estafadores se dedican a llevar a cabo una investigación exhaustiva con el fin de conocer a sus víctimas y plantear un escenario convincente.

Formas de prevención

Los atacantes se toman su tiempo para diseñar sus estrategias, por una parte, la buena noticia es que hay formas de protegerse contra el ransomware que llega a través del phishing por correo electrónico:

  • Solo abre correos o haz clic en archivos adjuntos enviados por fuentes legítimas
  • Identifica y verifica la dirección del remitente, así como la URL del dominio antes de llevar a cabo cualquier acción.
  • Familiarízate con el phishing por correo y las tácticas de prevención existentes.

Enlaces maliciosos

Los enlaces maliciosos son aquellos que dirigen a un usuario a sitios web falsos con la finalidad de estafarlos. En estos sitios web los piratas informáticos insertan enlaces maliciosos en un texto con hipervínculos y los envían a sus víctimas, ya sea por correo electrónico o redes sociales.

Método de ataque

Los piratas informáticos estructuran un mensaje que alienta a su potencial víctima a hacer clic en un enlace: pueden valerse de una sensación de urgencia. Cuando la víctima hace clic en el enlace malicioso activa la descarga del ransomware, encripta sus datos y exige un rescate.

Formas de prevención

La mayoría de las personas dan clic en estos enlaces de forma apresurada, sobre todo cuando creen que provienen de una fuente confiable, los piratas informáticos tienen grandes habilidades para hacer que sus enlaces maliciosos parezcan legítimos y engañar efectivamente. Estos son algunos consejos que puedes aplicar para evitar la infección de ransomware a través de estos enlaces:

  • No sigas enlaces adjuntos ciegamente en mensajes directos o correos electrónicos, asegúrate de confirmar que el enlace que se te envía es legítimo antes de realizar cualquier otra acción
  • Pasa el cursor sobre cualquier enlace que recibidas para verificar la URL
  • No hagas clic en direcciones URL abreviadas ya que los atacantes esconden enlaces maliciosos en estos, te recomendamos usar la herramienta “CheckShortURL” para expandirlos y verificar que sean verídicos.

Protocolos para trabajo de escritorio remoto (RDP)

Los protocolos de escritorio remoto (RDP, según sus siglas en inglés) son un estándar de comunicación que permite conectarse y acceder a una computadora de forma remota a través de conexiones de red. Los atacantes ponen su mira en este estándar para propagar infecciones de ransomware. Algunos de los ataques más notables a través de RDP son los que afectaron a compañías como GandCrab, Dharma y SamSam.

Método de ataque

Dado que los protocolos de escritorio remoto son receptores de una conexión de red a través del puerto 3389, los piratas informáticos pueden escanear la red en busca de los puertos RDP que estén abiertos y tengan defensas débiles. La compañía Cortex Xpanse Research informó que los atacantes de ransomware pueden escanear toda la red en menos de 45 minutos.

Si tu puerto RDP está expuesto, un actor malicioso puede acceder a tu red de múltiples formas, tales como el uso de fuerza bruta, uso de credenciales de inicio de sesión robadas, o incluso ataques de intermediarios. Una de las vulnerabilidades más predominantes en RDP es el BlueKeep, común que está presente en versiones previas del protocolo.

Formas de prevención

Una de las mejores formas de evitar la exposición de tus puertos RDP es deshabilitarlos donde no se necesiten, también puedes tomar medidas preventivas para proteger tus sistemas donde se usa activamente el RDP, tales como: 

  • Uso de autenticación multifactor
  • Límite de intentos de inicio de sesión para evitar ataques de fuerza bruta
  • Esconder los puertos RDP tras de una sólida red VPN
  • Crea una lista de control de acceso que solo permita conexiones a tus puertos RDP por parte de direcciones IP autorizadas.

Proveedores de servicios administrativos (MSP) y Software de administración y monitoreo remoto (RMM)

Los MSP tienen una responsabilidad de gran valor frente a sus clientes, ya que deben mantener los datos que tiene a resguardo de la forma más segura posible. Un RMM es un programa que permite a los MSP monitorear y mantener la infraestructura de IT para tus clientes, incluidos tus servidores, las estaciones de trabajo, las redes, tu hardware y otros puntos de acceso diversos. Si alguno de estos softwares se ve afectado por ransomware, fácilmente pueden bloquear toda la data pertinente al cliente, así como los activos digitales.

Método de ataque

Un atacante explota fácilmente las vulnerabilidades en el software de administración y monitoreo remoto para lanzar ataques phishing en los MSP. Cuando un atacante accede con éxito a un MSP, pueden retener toda la base de datos de tus clientes y pedir rescate por ella.

En el 2021, criminales informáticos lanzaron un ataque masivo contra los usuarios de Kaseya VSA, una popular herramienta de monitoreo, focalización y administración adoptada por al menos 40.000 empresas y organizaciones diferentes.

Formas de prevención

Los piratas de ransomware pueden explotar el software de administración y monitoreo remoto; para evitarlo, los MSP pueden implementar alguna de estas medidas de seguridad:

  • Habilitación de autenticación de dos factores en todo el software RMM
  • Educación y concientización entre el personal acerca del uso debido del MSP

Malvertising

«Malvertising» es una palabra compuesta en inglés que combina los términos “malware” y “advertising” las cuales en español significan «programa malicioso» y «publicidad». Como puedes imaginar esta técnica de ataque se presenta como un anuncio legítimo cargado de código maliciosos que sirve como puerta de entrada para descargar malware, robo de identidades o ataques de ransomware.

Método de ataque

El malvertising es tal vez una de las formas de ataques más simples que existe, ya que el atacante solo requiere un anuncio en línea (tal como un banner, enlace o similar) e introducir el ransomware en la sección CTA del anuncio (también conocida como la “llamada a la acción”). Los anuncios lucen auténticos, aparecen como una notificación, una imagen, o una oferta de software gratuito.

Cuando un usuario hace clic en estos anuncios, el código se activa para redirigir a la víctima a un sitio web malicioso, escanear su computadora en busca de vulnerabilidades e inicia la descarga del ransomware.

Algunos ataques de ransomware ejecutados mediante publicidad maliciosa incluyen los que se llevaron a cabo en Sodinokibi y CryptoWall.

Formas de prevención

El malvertising parece un anuncio legítimo, por lo cual a los usuarios les puede resultar difícil identificarlo. A continuación, te presentamos algunas medidas que puedes aplicar para prevenirlo:

  • Asegúrate de que tu navegador, antivirus y sistemas operativos estén actualizados
  • Deshabilita complementos no utilizados en el navegador
  • Utiliza y habilita una extensión bloqueadora de anuncios
  • Instala extensiones que prohíban la reproducción automática de Java o Adobe Flash en tu navegador.

Descargas no autorizadas

Las descargas ocultas son programas que se instalan automáticamente en tu dispositivo sin su conocimiento.

Método de ataque

Los atacantes de ransomware llevan a cabo sus fechorías infiltrándose en páginas web legítimas o alojando código malicioso en sitios web diseñados por ellos mismos.

Las descargas ocultas pueden instalar ransomware en segundo plano, buscando explotar vulnerabilidades conocidas en el navegador que usa la víctima, o en el sistema operativo, incluso puede ser a través de una aplicación.

A diferencia de los otros ya mencionados, los usuarios son víctimas de este ataque de una forma totalmente involuntaria, ya que no necesitan realizar ninguna acción, o descargar un archivo, o hacer clic en un enlace, no necesitan siquiera abrir un archivo adjunto incluido en un correo malicioso.

Formas de prevención

Las descargas no autorizadas se activan sin tu consentimiento o conocimiento, lo que las vuelve altamente riesgosas. Esta son algunas formas de detener estas amenazas:

  • Instala parches de seguridad recientes en todos tus programas 
  • Instalar un ad blocker
  • Deshabilita las extensiones que tienes en uso

Propagación de ransomware a través de la red

Los programas maliciosos avanzados tienen mecanismos de autopropagación que les permiten extender su influencia negativa a otros dispositivos en la red.

Método de ataque

Los piratas informáticos pueden enviar enlaces o archivos adjuntos con fines maliciosos para propagar malware y afectar a tus sistemas. A diferencia de los ataques analizados previamente que solo encripta una terminal local, esta variante avanzada puede bloquear el acceso a toda tu red.

Algunos de los ataques de ransomware por autopropagación más notables incluyen los llevados a cabo contra SamSam, Petya y WannaCry.

Formas de prevención

Si este tipo de malware infecta tu red, el atacante puede encriptar tus datos y exigir una fortuna para liberarlos; puedes evitar este problema siguiendo estos pasos:

  • Segmenta tu red
  • Implementa principios de privilegios mínimos
  • Crea y mantén una estructura sólida de copia de seguridad para tus datos

Software pirateado

Los software pirateado son programas que se distribuyen ilegalmente sin permiso de derechos de autor. En muchísimas empresas, hogares y organizaciones de todo tamaño se usan estos programas por ser más económicos y fáciles de adquirir a una licencia original, lo cual puede ser aprovechado por atacantes ransomware para apoderarse de tus datos. 

Método de ataque

Los piratas informáticos van más allá con esta táctica, ya que desarrollan sitios de software falso con el fin de propagar sus programas de ransomware. Cuando descargas estos programas, el malware se instala automáticamente en tu dispositivo. 

Los programas pirateados no reciben actualizaciones ni parches de los desarrolladores, lo que genera diversas vulnerabilidades que los estafadores pueden explotar con facilidad.

Formas de prevención

  • Evita usar software pirateado o crackeado
  • Evita visitar sitios web que alojan cracks, generadores de claves, software pirateado y activadores
  • Evita las ofertas de software que suenan demasiado buenas para ser verdad

Dispositivos portátiles

Los dispositivos portátiles son artefactos pequeños, fáciles de mover. Entre estos podemos incluir laptops, teléfonos móviles, unidades USB y discos duros; generalmente son livianos, lo que hace que sea fácil llevarlos como contrabando a introducirlos fácilmente a una empresa u organización para la propagación de ransomware.

Método de ataque

Los dispositivos portátiles son herramientas estándar usadas por los estafadores para la propagación de ransomware. El pirata informático puede fácilmente conectar una unidad USB infectada a una red corporativa, la cual disemina un programa que encripta el sistema y se propaga a otros dispositivos en la red.

Un atacante puede disfrazarse de empleado legítimo, pero también es factible que una persona dentro de la organización también lleve a cabo el ataque.

Formas de prevención

  • No permitas el acceso de dispositivos desconocidos en la red de la empresa
  • No conectes tus dispositivos portátiles a computadoras en cibercafés o quioscos de impresión
  • Actualiza tu software de seguridad y antivirus
  • Implemente políticas estrictas de BYOD (traer tus propios dispositivos)

Conclusiones 

Hemos discutido diversas formas de propagación de ransomware; ya sabemos que este puede circular fácilmente a través de archivos adjuntos de correo, o a través de enlaces maliciosos, lo cual requiere que tú como usuario tomes medidas. También sabemos que la propagación a través de la red, las descargas ocultas y la publicidad maliciosa no necesitan la intervención del usuario.

No importa cómo se propague el ransomware, la implementación de medidas preventivas que se han discutido en esta guía pueden ayudarte a mitigar el riesgo de estos ataques.

Las empresas y organizaciones necesitan invertir en software de seguridad y antivirus confiable, así como en la educación de sus empleados sobre las estafas phishing y la implementación de una buena estrategia para la creación y manutención de copias de seguridad, lo cual contribuirá en gran medida a mantener tus datos seguros y a buen resguardo.