El ransomware es un tipo de malware que bloquea los datos o dispositivos de una víctima y amenaza con mantenerlos bloqueados, a menos que la víctima pague un rescate al atacante. Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 por ciento de todos los ciberataques en 2022.

Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Al realizar respaldos de datos regulares o continuos, una organización podía limitar los costos de estos tipos de ataques de ransomware y, a menudo, evitar el pago del rescate exigido.

Sin embargo, en los últimos años, los ataques de ransomware han evolucionado para incluir ataques de doble y triple extorsión que aumentan considerablemente los riesgos, incluso para las víctimas que mantienen rigurosamente el respaldo de sus datos o pagan la demanda inicial de rescate. Los ataques de doble extorsión agregan la amenaza de robar los datos de la víctima y filtrarlos en línea. Además de eso, los ataques de triple extorsión amenazan con usar los datos robados para atacar a los clientes o socios comerciales de la víctima.

El Índice X-Force Threat Intelligence de 2023 descubrió que la participación del ransomware en todos los incidentes de ciberseguridad disminuyó en un 4 % de 2021 a 2022, probablemente porque los defensores tenían más éxito detectando y evitando ataques de ransomware. Pero este hallazgo positivo quedó eclipsado por una enorme reducción del 94 % en el tiempo promedio de ataque: de 2 meses a menos de 4 días, lo que daba a las organizaciones muy poco tiempo para detectar y frustrar posibles ataques.

Las víctimas y los negociadores de ransomware son reacios a divulgar los montos de pago de rescate.Sin embargo, según la Guía definitiva para el ransomware, las demandas de rescate han crecido hasta alcanzar siete y ocho cifras.Además, los pagos de rescate son solo parte del costo total de una infección por ransomware.Según el informe Costo de una filtración de datos 2022 de IBM, el costo promedio de una filtración de datos causada por un ataque de ransomware, que no incluye el pago de rescate, fue de 4.54 MUSD. Se espera que los ataques de ransomware costarán a las víctimas un estimado de 30 MUSD en 2023.

Hay dos tipos generales de ransomware. El tipo más común, llamado ransomware de cifrado o ransomware criptográfico, mantiene como rehenes los datos de la víctima mediante cifrado.Luego, el atacante exige un rescate a cambio de proporcionar la clave de cifrado necesaria para descifrar los datos.

La forma menos común de ransomware, llamada ransomware sin cifrar o ransomware con bloqueo de pantalla, bloquea todo el dispositivo de la víctima, generalmente bloqueando el acceso al sistema operativo. En lugar de arrancar como de costumbre, el dispositivo muestra una pantalla con la demanda de rescate.

Estos dos tipos se pueden dividir en las siguientes subcategorías:

• Leakware/Doxware es un ransomware que roba o exfiltra datos confidenciales y amenaza con publicarlos. Mientras que las formas anteriores de leakware o doxware a menudo robaban datos sin cifrarlos, las variantes actuales suelen hacer ambas cosas.
  
  
• El ransomware móvil incluye todo el ransomware que afecta a los dispositivos móviles. El ransomware para dispositivos móviles, que se entrega a través de una aplicación maliciosa o una descarga no autorizada, suele ser un ransomware sin cifrado porque el respaldo automatizado de datos en la nube, estándar en muchos dispositivos móviles, facilita la reversión de los ataques de cifrado.
  
  
• Los wipers o ransomware destructivos amenazan con destruir datos si no se paga el rescate, excepto en los casos en que el ransomware destruye los datos incluso si se paga el rescate. Se sospecha que son agentes o hactivistas de un país o estado, en lugar de delincuentes cibernéticos comunes, quienes despliegan este tipo de wipers.
  
  
• El scareware es justo lo que parece: un ransomware que intenta asustar a los usuarios para que paguen un rescate. Es posible que un scareware se presente como un mensaje de una agencia policial, acusando a la víctima de un delito y exigiendo una multa; podría falsificar una alerta legítima de infección por virus, alentando a la víctima a comprar un antivirus o software antimalware. A veces, el scareware es el ransomware, que cifra los datos o bloquea el dispositivo; en otros casos, es el vector del ransomware, que no cifra nada pero coacciona a la víctima para que descargue el ransomware.

Los ataques de ransomware pueden usar varios métodos o vectores para infectar una red o dispositivo. Algunos de los vectores de infección de ransomware más destacados son:

• Correos electrónicos de phishing y otros ataques de ingeniería social: los correos electrónicos de phishing manipulan a los usuarios para que descarguen y ejecuten un archivo adjunto malicioso (que contiene el ransomware disfrazado con un aspecto inofensivo de .pdf, documento de Microsoft Word, u otro archivo), o para que visiten un sitio web malicioso que pasa el ransomware a través del navegador web del usuario. En el Estudio de organizaciones con resiliencia cibernética de 2021 de IBM, el phishing y otras tácticas de ingeniería social causaron el 45 % de todos los ataques de ransomware informados por los participantes de la encuesta, haciéndolos los más comunes de todos los vectores de ataque de ransomware.
  
  
• Vulnerabilidades del sistema operativo y del software: Los delincuentes cibernéticos a menudo aprovechan las vulnerabilidades existentes para inyectar código malicioso en un dispositivo o red. Las vulnerabilidades de día cero, que son vulnerabilidades desconocidas para la comunidad de seguridad o identificadas pero aún no parcheadas, suponen una amenaza particular. Algunos grupos delincuentes de ransomware compran información sobre fallas de día cero de otros hackers para planificar sus ataques. Los hackers también han utilizado eficazmente vulnerabilidades parcheadas como vectores de ataque, como fue el caso en el ataque de WannaCry de 2017 que se analiza a continuación.
  
  
• Robo de credenciales: los delincuentes cibernéticos pueden robar las credenciales de los usuarios autorizados, comprarlas en la web oscura o romperlas a través de la fuerza bruta. Luego, pueden usar estas credenciales para iniciar sesión en una red o computadora y desplegar el ransomware directamente. El protocolo de escritorio remoto (RDP), un protocolo patentado desarrollado por Microsoft para permitir a los usuarios acceder a un equipo de forma remota, es un objetivo popular de robo de credenciales entre los atacantes de ransomware.
  
  
• Otro malware: los hackers a menudo usan malware desarrollado para otros ataques para entregar un ransomware a un dispositivo. El troyano Trickbot, por ejemplo, originalmente diseñado para robar credenciales bancarias, se utilizó para difundir la variante de ransomware Conti durante 2021.
  
  
• Descargas no autorizadas: los hackers pueden utilizar sitios web para pasar ransomware a dispositivos sin el conocimiento de los usuarios. Los kits de aprovechamiento utilizan sitios web comprometidos para analizar los navegadores de los visitantes en busca de vulnerabilidades de aplicaciones web que puedan usar para inyectar ransomware en el dispositivo. La publicidad maliciosa, anuncios digitales legítimos comprometidos por hackers, puede pasar ransomware a los dispositivos, incluso si el usuario no hace clic en el anuncio.

Los delincuentes cibernéticos no tienen que desarrollar su propio ransomware para aprovechar estos vectores. Algunos desarrolladores de ransomware comparten su código de malware con los delincuentes cibernéticos a través de acuerdos de ransomware como servicio (RaaS). El delincuente cibernético, o "afiliado", utiliza el código para llevar a cabo un ataque y luego divide el pago de rescate con el desarrollador. Es una relación mutuamente beneficiosa: los afiliados pueden beneficiarse de la extorsión sin tener que desarrollar su propio malware, y los desarrolladores pueden aumentar sus ganancias sin lanzar ciberataques adicionales.

Los distribuidores de ransomware pueden vender ransomware a través de mercados digitales o reclutar afiliados directamente a través de foros en línea o vías similares.Los grandes grupos de ransomware han invertido importantes sumas de dinero para atraer afiliados.El grupo REvil, por ejemplo, gastó 1 MUSD en una campaña de contratación en octubre de 2020.

Desde 2020, los investigadores de ciberseguridad han identificado más de 130 familias o variantes de ransomware distintas y activas: cepas únicas de ransomware con sus propias firmas de código y funciones. 

Entre las muchas variantes de ransomware que han circulado a lo largo de los años, varias cepas son especialmente notables por el alcance de su destrucción, cómo influyeron en el desarrollo del ransomware o las amenazas que aún representan hoy en día.
 

CryptoLocker

Aparecido por primera vez en septiembre de 2013, CryptoLocker es ampliamente conocido como el inicio de la era moderna del ransomware. Propagado usando una botnet (una red de computadoras secuestradas), CryptoLocker fue una de las primeras familias de ransomware en cifrar fuertemente los archivos de los usuarios. Se estima que sus extorsiones sumaron tres millones de dólares antes de que un esfuerzo internacional de aplicación de la ley la cerrara en 2014. El éxito de CryptoLocker generó numerosos imitadores y allanó el camino para variantes como WannaCry, Ryuk y Petya (descritas a continuación).
 

WannaCry

El primer criptogusano de alto perfil, el ransomware que puede propagarse a otros dispositivos en una red, WannaCry, atacó más de 200 000 computadoras (en 150 países) que los administradores administradores no habían parcheado para la vulnerabilidad EternalBlue de Microsoft Windows. Además de cifrar datos confidenciales, el ransomware WannaCry amenazó con borrar archivos si no se recibía el pago en un plazo de siete días. Sigue siendo uno de los mayores ataques de ransomware hasta la fecha, con costos estimados de hasta cuatro mil millones de dólares.
 

Petya y NotPetya

A diferencia de otros ransomware criptográficos, Petya cifra la tabla del sistema de archivos en lugar de los archivos individuales, lo que implica que el equipo infectado no puede iniciar Windows. NotPetya, una versión muy modificada, se utilizó para llevar a cabo un ciberataque a gran escala, principalmente contra Ucrania, en 2017. NotPetya era un wiper incapaz de desbloquear los sistemas incluso después de que se pagó el rescate.
 

Ryuk

Visto por primera vez en 2018, Ryuk popularizó los ataques de "ransomware de caza mayor" contra objetivos específicos de alto valor, con demandas de rescate que promedian más de un millón de dólares. Ryuk puede localizar y desactivar archivos de respaldo y características de restauración del sistema; en 2021 se descubrió una nueva cepa con capacidades de criptogusano.
 

DarkSide

Dirigido por un grupo sospechoso de operar desde Rusia, DarkSide es la variante de ransomware que atacó a la empresa Colonial Pipeline de los Estados Unidos el 7 de mayo de 2021, en lo que se considera el peor ataque cibernético contra la infraestructura crítica de los Estados Unidos hasta la fecha. Como consecuencia, se cerró temporalmente el oleoducto que suministra el 45 % del combustible de la costa este de Estados Unidos. Además de lanzar ataques directos, el grupo DarkSide también licencia su ransomware a afiliados a través de acuerdos RaaS.
 

Locky

Locky es un ransomware criptográfico con un método distinto de infección: utiliza macros ocultas en archivos adjuntos de correo electrónico (archivos de Microsoft Word) disfrazados de facturas legítimas. Cuando un usuario descarga y abre el documento de Microsoft Word, las macros maliciosas descargan secretamente la carga útil del ransomware en el dispositivo del usuario.
 

REvil/Sodinokibi

REvil, también conocido como Sodin o Sodinokibi, ayudó a popularizar el enfoque RaaS para la distribución de ransomware. Conocido por su uso en la caza mayor y los ataques de doble extorsión, REvil estuvo detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. JBS pagó un rescate de 11 000 000 USD después de que se interrumpió toda su operación de procesamiento de carne de res en EE. UU., y más de 1000 de los clientes de software de Kaseya se vieron afectados por un tiempo de inactividad significativo. El Servicio Federal de Seguridad de Rusia informó que había desmantelado REvil y acusado a varios de sus miembros a principios de 2022.

Hasta 2022, la mayoría de las víctimas de ransomware cumplieron con las demandas de rescate de sus atacantes. Por ejemplo, en el Estudio de organizaciones con resiliencia cibernética 2021 de IBM, el 61 % de las empresas participantes que experimentaron un ataque de ransomware en el lapso de dos años antes del estudio señalaron que habían pagado un rescate.

Sin embargo, informes recientes señalan que hubo un cambio en 2022. Coveware, empresa de respuesta ante incidentes de extorsión cibernética, divulgó resultados en los que solo el 41 por ciento de las víctimas de ransomware en 2022 pagaron un rescate, en comparación con el 51 por ciento en 2021 y el 70 por ciento en 2020. Chainanalysis, un proveedor de plataformas de datos de blockchain, informó que los atacantes de ransomware obtuvieron casi un 40 % menos dinero de las víctimas en 2022 que en 2021 (enlace externo a ibm.com). Los expertos apuntan a una mejor preparación para los delitos cibernéticos (incluidos los respaldos de datos) y a una mayor inversión en tecnología de prevención y detección de amenazas como factores potenciales detrás de este cambio.
 

Orientación para las autoridades

Las fuerzas de seguridad federales de Estados Unidos desaconsejan unánimemente a las víctimas de ransomware que paguen las peticiones de rescate. Según la National Cyber Investigative Joint Task Force (NCIJTF), una coalición de 20 organismos federales estadounidenses encargados de investigar las ciberamenazas:

"El FBI no alienta el pago de un rescate a los criminales. Pagar un rescate puede animar a los adversarios a atacar más organizaciones así como alentar a otros delincuentes a participar en la distribución del ransomware o financiar actividades ilícitas. Pagar el rescate tampoco garantiza que se recuperarán los archivos de una víctima".

Las agencias encargadas de hacer cumplir la ley recomiendan que las víctimas de ransomware informen los ataques a las autoridades correspondientes, como el Centro de Denuncias de Delitos en Internet (IC3) del FBI, antes de pagar un rescate. Algunas víctimas de ataques de ransomware pueden estar legalmente obligadas a informar infecciones de ransomware sin importar si se paga un rescate. Por ejemplo, el cumplimiento de HIPAA generalmente requiere que las entidades de atención médica informen cualquier violación de datos, incluidos los ataques de ransomware, al Departamento de Salud y Servicios Humanos.

En ciertas condiciones, pagar un rescate puede ser ilegal. Según un aviso de 2020 de la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de Estados Unidos, pagar un rescate a atacantes de países sometidos a sanciones económicas estadounidenses, como Rusia, Corea del Norte o Irán, constituiría una violación de la normativa de la OFAC y podría derivar en sanciones civiles, multas o cargos penales.

Para defenderse contra las amenazas de ransomware, las agencias federales como CISA, NCIJFT y el Servicio Secreto de los Estados Unidos recomiendan que las organizaciones tomen ciertas medidas de precaución, tales como:

• Mantener respaldos de imágenes confidenciales de datos y del sistema, idealmente en discos duros u otros dispositivos que puedan desconectarse de la red.
  
  
• Aplicación periódica de parches para ayudar a prevenir los ataques de ransomware que aprovechan el software y la vulnerabilidad del sistema operativo.
  
  
• Actualizar las herramientas de ciberseguridad , incluidos el software antimalware y antivirus, los cortafuegos, las herramientas de supervisión de redes y las gateways web de seguridad, así como las soluciones de ciberseguridad empresarial, como la orquestación, automatización y respuesta de seguridad (SOAR), la detección y respuesta de endpoints (EDR), la gestión de información y eventos de seguridad (SIEM) y la detección y respuesta ampliadas (XDR), que ayudan a los equipos de seguridad a detectar y responder al ransomware en tiempo real.
  
  
• Capacitación en ciberseguridad para empleados a fin de ayudar a los usuarios a reconocer y evitar el phishing, la ingeniería social y otras tácticas que pueden conducir a infecciones de ransomware.
  
  
• Implementar políticas de control de acceso que incluyen autenticación multifactor, arquitectura de confianza cero, segmentación de red y medidas similares que puedan evitar que el ransomware llegue a datos particularmente confidenciales y que los criptogusanos se propaguen a otros dispositivos de la red.

Si bien las herramientas de descifrado para algunas variantes de ransomware están disponibles públicamente a través de proyectos como No More Ransom, corregir una infección activa de ransomware a menudo requiere un enfoque multifacético.Consulte en la Guía definitiva de ransomware de IBM Security un ejemplo de un plan de respuesta a incidentes de ransomware modelado según el ciclo de vida de respuesta a incidentes del National Institute of Standards and Technology (NIST).

1989: el primer ataque de ransomware documentado, conocido como el troyano AIDS o "PC Cyborg", se distribuyó en disquetes.Ocultaba directorios de archivos en el ordenador de la víctima y exigía 189 dólares para desocultarlos. Sin embargo, debido a que cifraba los nombres de los archivos en lugar de los propios archivos, era fácil para los usuarios revertir el daño sin pagar un rescate.

1996: al analizar las fallas del virus troyano AIDS los científicos informáticos Adam L. Young y Moti Yung advirtieron sobre futuras formas de malware que podrían usar criptografía de clave pública más sofisticada para mantener como rehenes los datos confidenciales. 

2005: después de relativamente pocos ataques de ransomware a principios de la década de 2000, comienza un repunte de infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes para usar el cifrado asimétrico. A medida que el nuevo ransomware ofrecía formas más efectivas de extorsión, más delincuentes cibernéticos comenzaron a propagar ransomware en todo el mundo.

2009: la introducción de la criptomoneda, particularmente el bitcoin, brinda a los delincuentes cibernéticos una forma de recibir pagos de rescate irrastreables, impulsando el próximo aumento en la actividad de ransomware.

2013: la era moderna del ransomware comienza con CryptoLocker, que inaugura la ola actual de ataques de ransomware altamente sofisticados basados en cifrado y que solicitan pago en criptomonedas.

2015: la variante de ransomware Tox presenta el modelo de ransomware como servicio (RaaS).

2017: aparece WannaCry, los primeros criptogusanos autorreplicantes ampliamente utilizados.

2018: Ryuk popularizó la caza mayor en el ransomware.

2019: los ataques de ransomware de doble y triple extorsión comienzan a aumentar. Casi todos los incidentes de ransomware a los que el equipo de respuesta a incidentes de IBM® Security X-Force ha respondido desde 2019 han involucrado una doble extorsión.

2022: el secuestro de hilos, en el que los delincuentes cibernéticos se insertan en las conversaciones en línea de los objetivos, surge como un vector de ransomware destacado.