Ransomware: una hoja de trucos para profesionales


Esta guía cubre varios ataques de ransomware, incluidos Colonial Pipeline, WannaCry y Petya, los sistemas a los que se dirigen los piratas informáticos y cómo evitar convertirse en una víctima y pagar un rescate a los ciberdelincuentes.

En el pasado, las amenazas a la seguridad generalmente implicaban extraer información de los sistemas que los atacantes podían usar para otros delitos, como el robo de identidad. Ahora, los ciberdelincuentes han procedido a exigir directamente dinero a las víctimas manteniendo sus dispositivos (y datos) como rehenes. Este tipo de ataque de malware en el que los datos se cifran (o se dice que lo están) y se solicita a las víctimas que paguen por la clave para restaurar el acceso, llamado ransomware, ha crecido rápidamente desde 2013.

La hoja de trucos de TechRepublic sobre ransomware es una descripción general de esta amenaza de malware. Esta guía se actualizará periódicamente a medida que se desarrollen nuevas vulnerabilidades y defensas.

VER: Kit de contratación: Ingeniero de ciberseguridad (TechRepublic Premium)

Resumen ejecutivo

  • ¿Qué es el ransomware? Secuestro de datos es malware. Los piratas informáticos exigen el pago, a menudo a través de bitcoin o tarjeta de crédito prepaga, a las víctimas para recuperar el acceso a un dispositivo infectado y los datos almacenados en él.
  • ¿Por qué es importante el ransomware? Debido a la facilidad de implementación de ransomware, los ciberdelincuentes confían cada vez más en este tipo de ataques de malware para generar beneficios.
  • ¿Cuáles son los principales objetivos de los ataques de ransomware? Si bien los usuarios domésticos eran tradicionalmente objetivos de ataques de ransomware, cuidado de la salud, escuelas y universidades y el sector público ahora son objetivos cada vez más frecuentes. Es más probable que las empresas tengan bolsillos profundos de los que extraer un rescate.
  • ¿Cuáles son los ataques de ransomware más conocidos? El ransomware ha sido una amenaza de malware activa y continua desde septiembre de 2013. WannaCry, Petya y el ataque Colonial Pipeline son algunos de los ataques de ransomware más destacados hasta la fecha.
  • ¿Cómo me protejo de un ataque de ransomware? Una variedad de herramientas desarrolladas en colaboración con las fuerzas del orden y las empresas de seguridad están disponibles para descifrar su computadora.

VER: Todas las guías y hojas de trucos para personas inteligentes de TechRepublic

¿Qué es el ransomware?

El ransomware es un tipo de ataque de malware que se caracteriza por mantener el control del dispositivo y, por lo tanto, los datos almacenados localmente a cambio de un rescate, que las víctimas suelen pagar en bitcoins o con otras monedas virtuales. Los sofisticados ataques de ransomware emplean cifrado a nivel de disco o de archivo, lo que hace imposible recuperar archivos sin pagar el rescate exigido por los piratas informáticos.

Históricamente, el ransomware ha invocado la imagen de las organizaciones encargadas de hacer cumplir la ley para obligar a las víctimas a pagar. Estos mensajes a menudo muestran advertencias con el logotipo del FBI y un mensaje que indica que se detectó el intercambio ilegal de archivos en el sistema, lo que incita a los usuarios a pagar una multa o arriesgarse a un proceso penal. A medida que los ataques de ransomware han crecido en la conciencia pública, los atacantes han comenzado a crear cargas útiles que indican claramente que un dispositivo simplemente ha sido pirateado y que las víctimas deben pagar a los piratas informáticos para devolver el acceso.

Otros ataques, como el ransomware WhiteRose, muestran mensajes desconcertantes y escasamente gramaticales a víctimas desprevenidas sobre nada en particular, describiendo escenarios tan idílicos como un hacker "sentado en una silla de madera junto a un arbusto" con "un libro legible" de William Faulkner, en un jardín en un lugar remoto.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Los ataques de ransomware a menudo se propagan a través de redes de intercambio de archivos y también se han distribuido como parte de una campaña de publicidad maliciosa en la red publicitaria de Zedo, así como a través de correos electrónicos de phishing que disfrazan la carga útil como imágenes creadas con fines malintencionados o como ejecutables adjuntos a correos electrónicos. WannaCry, quizás el ataque de ransomware único más conocido, utiliza una falla en el protocolo SMB de Microsoft, dejando cualquier computadora conectada a Internet sin parchear vulnerable a la infección. Otros ataques aprovechan los servicios de Escritorio remoto no seguros, escaneando Internet en busca de sistemas vulnerables.

A mayo de 2021, ha habido un aumento del 102% en los ataques de ransomware a nivel mundial en comparación con el comienzo de 2020, sin signos de desaceleración, según un informe de Investigación de Check Point. El informe también encontró que "la cantidad de organizaciones afectadas a nivel mundial se ha más que duplicado en la primera mitad de 2021, en comparación con 2020". Además, según el informe, los sectores de la salud y los servicios públicos son los más objetivo (en abril de 2021); las organizaciones en Asia Pacífico han visto la mayoría de los ataques con un promedio de 51 por semana (un aumento del 14% en comparación con el comienzo de 2021); y las organizaciones africanas han experimentado el mayor aumento de ataques (34%) desde abril.

VER: Infografía: las 5 fases de un ataque de ransomware (TechRepublic)

¿Por qué es importante el ransomware?

Para los ciberdelincuentes, el uso de ransomware proporciona una línea muy recta desde el desarrollo hasta las ganancias, ya que el trabajo comparativamente manual del robo de identidad requiere más recursos. Como tal, el crecimiento del ransomware se puede atribuir a la facilidad de implementación y una alta tasa de retorno en relación con la cantidad de esfuerzo realizado. Los nuevos ataques de ransomware duplican el factor de ganancias, incluidos los mineros de criptomonedas para utilizar el poder de procesamiento de los sistemas infectados, ya que de otro modo se quedan inactivos, esperando que las víctimas paguen el rescate.

Por lo general, los ataques de ransomware aprovechan las vulnerabilidades conocidas, por lo que no se requiere una investigación original de los ciberdelincuentes que buscan ganar dinero rápidamente. El ataque WannaCry fue un caso especial: aprovechó dos exploits llamados EternalBlue y DoublePulsar. Estos exploits fueron descubiertos y utilizados por la NSA, y The Shadow Brokers, un grupo intentar vender el acceso a un caché de vulnerabilidades y herramientas de piratería desarrollado por el gobierno de los EE. UU.

Los ataques de ransomware generalmente tienen bastante éxito para los ciberdelincuentes, ya que las víctimas suelen pagar el rescate. Los ataques dirigidos específicamente pueden resultar en demandas de rescate cada vez más altas, ya que los atacantes malintencionados se vuelven más descarados en sus intentos de extorsionar a las víctimas.

Sin embargo, los ataques de ransomware "falsos", en los que los atacantes exigen un rescate, aunque los archivos se eliminan ya sea que los usuarios paguen o no—También se han generalizado recientemente. Quizás el más descarado (aunque sin éxito) de estos es un Variante de KillDisk que exige un rescate de $ 247,000, aunque la clave de cifrado no se almacena de forma local o remota, lo que hace imposible que los archivos se descifren si alguien paga el rescate.

VER: Ransomware: por qué ahora nos enfrentamos a una tormenta perfecta (ZDNet)

¿Cuáles son los principales objetivos de los ataques de ransomware?

Si bien los usuarios domésticos fueron tradicionalmente el objetivo del ransomware, las redes comerciales han sido cada vez más atacadas por delincuentes. Además, servidores, cuidado de la salud y los servicios públicos (por ejemplo, el ataque Colonial Pipeline) se han convertido en objetivos de alto perfil para los atacantes malintencionados de ransomware.

Las empresas son objetivos particularmente atractivos para estos ataques de malware porque las organizaciones más grandes tienen bolsillos más profundos para elegir; sin embargo, esas empresas más grandes también tienen más probabilidades de tener operaciones de TI sólidas con copias de seguridad recientes para mitigar cualquier daño y evitar el pago de rescate.

A partir de 2021, los sectores de la industria con los mayores volúmenes de intentos de ataque de ransomware a nivel mundial son la atención médica, con un promedio de 109 intentos de ataques por organización cada semana, seguido por el sector de servicios públicos con 59 ataques y seguros / legal con 34, según Check Informe de triple extorsión de Point Research.

Para agravar el problema, Ciberseguridad 2021 de NTT Security y el informe de próxima generación indica que el 39% de la próxima generación pagaría un rescate a un ciberdelincuente para poder continuar con su trabajo.

¿Cuáles son algunos de los ataques de ransomware más conocidos?

Si bien el primer ataque de ransomware rudimentario se remonta a 1989, el primer ataque de ransomware de cifrado generalizado, CryptoLocker, se implementó en septiembre de 2013. Originalmente, las víctimas de CryptoLocker tenían un plazo estricto para recuperar sus archivos, aunque los autores luego crearon un servicio web que puede descifrar sistemas para los que la fecha límite ha pasado al elevado precio de 10 BTC (a junio de 2021, el equivalente en USD de 10 Bitcoin, o BTC, es de aproximadamente $ 385,793).

Si bien se cree que los autores originales de CryptoLocker ganaron alrededor de $ 3 millones de dólares, los imitadores que usan el nombre CryptoLocker han aparecido con una frecuencia creciente. El Centro de Quejas de Delitos en Internet del FBI estima que entre abril de 2014 y junio de 2015, las víctimas de ransomware pagaron más de 18 millones de dólares para descifrar archivos en sus dispositivos.

Locky, otro ataque de ransomware temprano, tiene una peculiar tendencia a desaparecer y reaparecer a intervalos aparentemente aleatorios. Apareció por primera vez en febrero de 2016 y dejó de propagarse en diciembre de 2016, solo para reaparecer nuevamente brevemente en enero y abril de 2017. Con cada desaparición, los creadores de Locky parecen refinar el ataque. La botnet Necurs, que distribuye el ataque Locky, parece haber pasado a distribuir el ransomware Jaff relacionado. Tanto Locky como Jaff se borran automáticamente de los sistemas con el ruso seleccionado como idioma predeterminado del sistema.

VER: Los atacantes de ransomware ahora utilizan tácticas de triple extorsión (TechRepublic)

El ataque de WannaCry, que comenzó el 12 de mayo de 2017, se detuvo tres días después cuando un investigador de seguridad identificó y registró un nombre de dominio utilizado para el mando y control de la carga útil. El Centro Nacional de Seguridad Cibernética, una división de GCHQ, identificó a Corea del Norte como el origen del ataque WannaCry. Las estimaciones indican que el El ataque de WannaCry le costó al NHS del Reino Unido casi £ 100 millones debido a interrupciones en la atención al paciente.

Petya, también conocida como GoldenEye, se distribuyó por primera vez a través de archivos adjuntos de correo electrónico infectados en marzo de 2016; al igual que otros ataques de ransomware, exigía que se pagara un rescate a través de Bitcoin. En mayo de 2016 se descubrió una versión modificada de Petya; utiliza una carga útil secundaria si el malware no puede obtener acceso de administrador.

En 2017, se descubrió un falso ataque de ransomware llamado NotPetya. NotPetya se propagó a través del mecanismo de actualización de software del software de contabilidad MeDoc, que utilizan unas 400.000 empresas en Ucrania. Mientras que Petya cifra el MBR de un disco afectado, NotPetya también cifra archivos individuales y sobrescribe archivos, lo que hace imposible el descifrado.

Al igual que WannaCry, NotPetya utiliza la vulnerabilidad EternalBlue desarrollada por la NSA para propagarse a través de las redes locales. En comparación con Petya, el rescate más barato que exige NotPetya, combinado con la única billetera de Bitcoin que las víctimas deben usar, sugiere que el objetivo de ese ataque era infligir daño en lugar de generar ganancias. Dado que las organizaciones afectadas son casi en su totalidad ucranianas, se puede inferir que NotPetya es un ataque de guerra cibernética.

En octubre de 2017, el ataque de Bad Rabbit se dirigió inicialmente a víctimas en Rusia y Ucrania, y se extendió a través de redes corporativas, afectando a víctimas en Alemania, Corea del Sur y Polonia. En lugar de utilizar cifrado de disco o archivo, el ataque Bad Rabbit cifra las tablas de archivos creadas por el sistema de archivos de la computadora, que indexan los nombres y ubicaciones en el disco donde se almacenan los archivos. Al igual que con WannaCry y NotPetya, el ataque Bad Rabbit utiliza un exploit desarrollado por la NSA, EternalRomance, continuando con la tendencia de ataques de ransomware que utilizan como arma los exploits que las agencias gubernamentales de EE. UU. encuentran y no denuncian.

VER: Las bandas de ransomware ganaron al menos $ 350 millones en 2020 (ZDNet)

En enero de 2018, el primeras variantes de la familia de ransomware GandCrab fueron descubiertos, con variantes mejoradas detectadas en abril. GandCrab se distribuye principalmente a través de correos electrónicos de phishing, así como exploits en Internet Explorer, Adobe Flash Player y VBScript. Dependiendo de la variante específica, exige un rescate pagado en las criptomonedas Dash o Bitcoin.

GandCrab fue descrito como "una de las formas más agresivas de ransomware" según Europol. Aunque desapareció unas semanas después de su aparición, el sitio hermano ZDNet explicó que los investigadores creen que los atacantes pueden simplemente haber cambiado de enfoque en función de las "fuertes similitudes en el código de GandCrab en comparación con Sodinokibi", que todavía era fuerte en 2020.

En marzo de 2018, la red informática de la ciudad de Atlanta fue atacada por el ransomware SamSam, por lo que la ciudad proyectó costos de $ 2.6 millones de dólares para recuperarse de. El fundador de Rendition Infosec, Jake Williams, señaló que la infraestructura de la ciudad había sido víctima de la puerta trasera DoublePulsar desarrollada por la NSA desde fines de abril hasta principios de mayo de 2017, que ZDNet señala que fue más de un mes después de que Microsoft lanzara parches para las vulnerabilidades. Aunque la ciudad de Atlanta no pagó un rescate, los atacantes detrás del malware SamSam obtuvieron casi $ 6 millones desde que comenzó el ataque a fines de 2015, según un informe de julio de 2018 en ZDNet. Ese informe también indica que los atacantes continúan ganando un estimado de $ 300,000 por mes.

En septiembre de 2018, los ataques de ransomware pantallas de información de puertas forzadas fuera de línea en el aeropuerto de Bristol durante dos días.

ZDNet informó que en noviembre de 2018, el Departamento de Justicia de EE. UU. acusó a dos piratas informáticos que trabajaban fuera de Irán de crear el ransomware SamSam, que supuestamente "ganó más de $ 6 millones en pagos de rescate en el transcurso de un año. Poco después, SamSam pareció dejar de ser una forma activa de ransomware".

En 2019, uno de los mayores ataques de ransomware para ser noticia fue el ataque RobbinHood en el gobierno de la ciudad de Baltimore. Durante el ataque, todos los servidores, excepto los servicios esenciales, se desconectaron. Los piratas informáticos exigieron 13 Bitcoin (equivalente a $ 501,530.90, a junio de 2021) en una nota de rescate para restaurar los servicios.

Se informó que Baltimore era susceptible a un ataque de este tipo debido al control descentralizado de su presupuesto de tecnología, así como a la falta de financiación del seguro contra ataques cibernéticos.

Laberinto ransomware, que combinaba actualizaciones periódicas del código de malware con amenazas de filtrar información robada si no se pagaba un rescate de seis cifras, fue una de las familias de ransomware más exitosas de 2020. Aunque el grupo "retirado" a finales de 2020, se cree que varios de los miembros detrás del éxito del grupo pueden haber pasado a trabajar en otras operaciones criminales de ransomware.

VER: Ataque SolarWinds: los expertos en ciberseguridad comparten las lecciones aprendidas y cómo proteger su negocio (TechRepublic)

El 6 de mayo de 2021, Colonial Pipeline Company, que es responsable del 45% del combustible de la costa este, incluido el gas, el combustible para calefacción y otras formas de petróleo, descubrió que había sufrido un ataque de ransomware. La empresa se vio obligada a cerrar algunos de sus sistemas, deteniendo temporalmente todas las operaciones del oleoducto.

En un artículo de TechRepublic sobre los ataques, Lance Whitney informó que el FBI identificó el Banda de ransomware DarkSide como los culpables del ataque. DarkSide, un grupo de piratas informáticos "profesional" y "organizado" que ya ha obtenido beneficios millonarios (las demandas de rescate oscilan entre 200.000 y 2 millones de dólares), normalmente se dirige a países de habla inglesa y evita las naciones del bloque soviético, según Lior Div, director ejecutivo de empresa de seguridad Cybereason. Div también señaló que DarkSide históricamente apunta a controladores de dominio, lo que amenaza redes enteras.

"Dada esta importancia, es probable que este acto fuera conocido por el gobierno ruso, ya sea a través de la comunicación directa o de la recopilación de inteligencia por parte del GRU y SRV", dijo Mike Hamilton, ex CISO de Seattle y CISO de la firma gubernamental de ciberseguridad CI Security. Los motivos del ataque podrían diferir entre DarkSide y el gobierno ruso, pero el Kremlin podría estar usando DarkSide para determinar si Estados Unidos" trazaría la línea "entre un acto delictivo y un acto de agresión", añadió Hamilton.

Era informó el 13 de mayo de 2021, Colonial Pipeline pagó una demanda de rescate de cerca de $ 5 millones a cambio de una clave de descifrado.

VER: Cómo prevenir otro ataque de ransomware Colonial Pipeline (TechRepublic)

¿Cómo puedo protegerme de un ataque de ransomware?

Las diferentes familias de ransomware utilizan diferentes puntos de entrada, como redes de intercambio de archivos, publicidad maliciosa, phishing, archivos adjuntos de correo electrónico, enlaces maliciosos y el uso de sistemas infectados para buscar puertos abiertos vulnerables en computadoras conectadas a Internet. Como resultado, protegerse de un ataque de ransomware simplemente requiere una higiene de seguridad diligente. Para las implementaciones de estaciones de trabajo empresariales, el uso de la Política de grupo para evitar la ejecución de programas desconocidos es una medida de seguridad eficaz para el ransomware y otros tipos de malware.

VER: Glosario de criptomonedas: desde Bitcoin y Dogecoin hasta billeteras calientes y ballenas (TechRepublic Premium)

Asegurarse de que todos los dispositivos de su red reciban parches de seguridad regulares y rápidos es la mayor defensa contra cualquier intento de piratería, incluido el ransomware. Además, un ciclo de vida sano del dispositivo también es importante para la seguridad de la red: los sistemas obsoletos que ejecutan sistemas operativos no compatibles, como Windows XP, no tienen cabida en una red conectada a Internet.

El proyecto No More Ransom, una colaboración entre Europol, la Policía Nacional Holandesa, Kaspersky Lab y McAfee, proporciona a las víctimas de una infección de ransomware herramientas de descifrado para eliminar el ransomware de más de 80 variantes de tipos de ransomware generalizados, incluidos GandCrab, Popcorn, LambdaLocker, Jaff, CoinVault y muchos otros.

Ver también

ransomwareistock100358491kaptnali.

Getty Images / iStockphoto



Enlace a la noticia original