Actualizado: 4 de junio de 2024
Colaborador: Matthew Kosinski
El ransomware es un tipo de malware que retiene como rehenes los datos confidenciales o el dispositivo de una víctima, amenazando con mantenerlos bloqueados, o algo peor, a menos que la víctima pague un rescate al atacante.
Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Mediante la realización de copias de seguridad de los datos de forma regular o continua, una organización podría limitar los costes derivados de este tipo de ataques de ransomware y, a menudo, evitar el pago de la petición de rescate.
En los últimos años, los ataques de ransomware han evolucionado para incluir tácticas de doble y triple extorsión que elevan considerablemente la apuesta, incluso las víctimas que mantienen rigurosamente copias de seguridad de sus datos o pagan el rescate inicial corren peligro.
Los ataques de doble extorsión añaden la amenaza de robar los datos de la víctima y divulgarlos en Internet. Los ataques de triple extorsión añaden la amenaza de utilizar los datos robados para atacar a los clientes o socios comerciales de la víctima.
El ransomware es una de las formas más comunes de software malintencionado y los ataques de ransomware pueden costar millones de dólares a las organizaciones afectadas.
El 20 % de todos los ciberataques registrados por el IBM X-Force Threat Intelligence Index en 2023 involucraron ransomware. Y estos ataques se mueven con rapidez. Cuando los hackers obtienen acceso a una red, se tarda menos de cuatro días en implementar el ransomware. Esta velocidad da a las organizaciones poco tiempo para detectar y frustrar posibles ataques.
Las víctimas y los negociadores de ransomware son reacios a revelar los pagos de rescate, pero los actores de amenazas a menudo exigen cantidades de siete y ocho cifras. Y los pagos de rescate son solo una parte del coste total de una infección de ransomware. Según el informe "Coste de una filtración de datos" de IBM, el coste promedio de una vulneración de ransomware es de 5,13 millones de dólares, lo que no incluye los pagos de rescate.
Dicho esto, los equipos de ciberseguridad son cada vez más expertos en combatir el ransomware. Según el X-Force Threat Intelligence Index, las infecciones por ransomware disminuyeron un 11,5 % entre 2022 y 2023, probablemente debido a mejoras en la detección y prevención de amenazas.
Aumente sus conocimientos y reconsidere su plan de respuesta a incidentes para fortalecer las defensas de su organización contra el ransomware.
Regístrese para recibir el informe "Coste de una filtración de datos"
Hay dos tipos generales de ransomware. El tipo más común, denominado ransomware de cifrado o criptomonedas, mantiene como rehenes los datos de la víctima cifrándolos. A continuación, el atacante exige un rescate a cambio de proporcionar la clave de cifrado necesaria para descifrar los datos.
La forma menos común de ransomware, llamada ransomware no cifrado o ransomware de bloqueo de pantalla, todo el dispositivo de la víctima, generalmente bloqueando el acceso al sistema operativo. En lugar de iniciarse como de costumbre, el dispositivo muestra una pantalla en la que se pide el rescate.
Estos dos tipos generales se dividen en estas subcategorías:
Leakware/doxware es un ransomware que roba o exfiltra datos confidenciales y amenaza con publicarlos. Mientras que las formas anteriores de filtrado o doxware a menudo robaban datos sin cifrarlos, las variantes actuales suelen hacer ambas cosas.
El ransomware móvil incluye todo el ransomware que afecta a los dispositivos móviles. La mayoría de los ransomware móviles, que se entregan a través de aplicaciones maliciosas o descargas no autorizadas, son ransomware sin cifrado. Los hackers prefieren los bloqueadores de pantalla para los ataques a móviles porque las copias de seguridad automáticas de los datos en la nube, estándar en muchos dispositivos móviles, facilitan la reversión de los ataques de cifrado.
Los wipers, o ransomware destructivo, amenazan a destruir los datos si la víctima no paga el rescate. En algunos casos, el ransomware destruye los datos incluso si la víctima paga. A menudo este último tipo de borrado de datos lo implementan actores de estados-nación o hacktivistas en lugar de ciberdelincuentes comunes.
El scareware es exactamente lo que parece: un ransomware que intenta asustar a los usuarios para que paguen un rescate. El scareware puede hacerse pasar por un mensaje de un organismo encargado de hacer cumplir la ley en el que se acusa a la víctima de un delito y se le exige una multa. Como alternativa, podría falsificar una alerta de infección viral legítima e incitar a la víctima a comprar un ransomware disfrazado de software antivirus.
A veces, el scareware es el ransomware, que encripta los datos o bloquea el dispositivo. En otros casos, es el vector de ransomware, que no encripta nada pero obliga a la víctima a descargar ransomware.
Los ataques de ransomware pueden utilizar varios métodos, o vectores, para infectar una red o dispositivo. Algunos de los vectores de infección por ransomware más destacados son:
Los ataques de ingeniería social engañan a las víctimas para que descarguen y ejecuten archivos ejecutables que resultan ser ransomware. Por ejemplo, un correo electrónico de phishing puede contener un archivo adjunto malintencionado disfrazado de un archivo .pdf, de Microsoft Word u otro tipo de archivo de aspecto inofensivo .
Los ataques de ingeniería social también pueden atraer a los usuarios para que visiten un sitio web malicioso o escaneen códigos QR maliciosos que pasan el ransomware a través del navegador web del usuario.
Los ciberdelincuentes a menudo explotan las vulnerabilidades existentes para inyectar código malicioso en un dispositivo o red.
Las vulnerabilidades de día cero, desconocidas para la comunidad de seguridad o identificadas pero no corregidas, representan una amenaza particular. Algunos grupos de ransomware compran información sobre vulnerabilidades de día cero a otros hackers para planificar sus ataques. Los hackers también han utilizado eficazmente vulnerabilidades parcheadas como vectores de ataque, como ocurrió en el ataque WannaCry de 2017.
Los ciberdelincuentes pueden robar las credenciales de usuarios autorizados, comprarlas en la dark web o descifrarlas mediante ataques de fuerza bruta. A continuación, utilizan estas credenciales para iniciar sesión en una red u ordenador e implementan directamente el ransomware.
El protocolo de escritorio remoto (RDP), un protocolo propietario de Microsoft que permite a los usuarios acceder a un equipo de forma remota, es un objetivo popular de robo de credenciales entre los atacantes de ransomware.
Los hackers suelen utilizar malware desarrollado para otros ataques con el fin de enviar ransomware a un dispositivo. Los actores de amenazas utilizaron el troyano Trickbot, diseñado originalmente para robar credenciales bancarias, para difundir la variante del ransomware Conti a lo largo de 2021.
Los hackers pueden usar sitios web para pasar ransomware a dispositivos sin el conocimiento de los usuarios. Los kits de explotación utilizan sitios web comprometidos para escanear los navegadores de los visitantes en busca de vulnerabilidades de aplicaciones web que puedan utilizar para inyectar ransomware en un dispositivo.
La publicidad maliciosa (anuncios digitales legítimos que los hackers han comprometido) también puede transmitir ransomware a los dispositivos, incluso si el usuario no hace clic en el anuncio.
Los ciberdelincuentes no necesariamente necesitan desarrollar su propio ransomware para explotar estos vectores. Algunos desarrolladores de ransomware comparten su código de malware con los ciberdelincuentes a través de acuerdos de ransomware como servicio (RaaS).
El ciberdelincuente, o "afiliado", utiliza el código para llevar a cabo un ataque y luego divide el pago del rescate con el desarrollador. Es una relación mutuamente beneficiosa. Los afiliados pueden beneficiarse de la extorsión sin tener que desarrollar su propio malware, y los desarrolladores pueden aumentar sus ganancias sin lanzar más ciberataques.
Los distribuidores de ransomware pueden vender ransomware a través de mercados digitales en la dark web. También pueden reclutar afiliados directamente a través de foros en línea o vías similares. Los grandes grupos de ransomware han invertido importantes sumas de dinero en esfuerzos de reclutamiento para atraer afiliados.
Un ataque de cibersecuestro suele pasar por estas fases.
Según la Guía definitiva sobre ransomware de IBM Security, los vectores más comunes para los ataques de ransomware son el phishing, la explotación de vulnerabilidades y la concesión de protocolos de acceso remoto como RDP.
En función del vector de acceso inicial, los hackers pueden implementar una herramienta intermedia de acceso remoto (RAT) u otro malware para ayudar a afianzarse en el sistema objetivo.
Durante esta tercera etapa, los atacantes se centran en comprender el sistema local y el dominio al que pueden acceder actualmente. Los atacantes también se centran en obtener acceso a otros sistemas y dominios, lo que se conoce como movimiento lateral.
Aquí, los operadores de ransomware cambian de enfoque para identificar datos valiosos y exfiltrarlos (robarlos), generalmente descargando o exportando una copia por sí mismos.
Si bien los atacantes pueden filtrar los datos a los que pueden acceder, generalmente se centran en datos especialmente valiosos (credenciales de inicio de sesión, información personal de los clientes, propiedad intelectual) que pueden usar para la doble extorsión.
El ransomware de cifrado comienza a identificar y cifrar archivos. Algunos ransomwares de cifrado también desactivan las funciones de restauración del sistema, o borran o cifran las copias de seguridad del ordenador o la red de la víctima, con el fin de aumentar la presión para obtener la clave de descifrado.
El ransomware sin cifrado bloquea la pantalla del dispositivo, lo inunda de ventanas emergentes o impide a la víctima utilizar el dispositivo de cualquier otra forma.
Una vez que los archivos se han cifrado o el dispositivo se ha inutilizado, el ransomware alerta a la víctima de la infección. Esta notificación suele llegar a través de un archivo .txt depositado en el escritorio del ordenador o a través de una ventana emergente.
La nota de rescate contiene instrucciones sobre cómo pagar el rescate, normalmente en criptomoneda o un método similar imposible de rastrear. El pago se realiza a cambio de una clave de descifrado o la restauración de las operaciones estándar.
Hasta la fecha, los investigadores de ciberseguridad han identificado miles de variantes o "familias" distintas de ransomware, cepas únicas con sus propias funciones y firmas de código.
Hay varias cepas de ransomware especialmente notables por el alcance de su destrucción, por cómo influyeron en el desarrollo del ransomware o por las amenazas que plantean en la actualidad.
CryptoLocker
CryptoLocker, que apareció por primera vez en septiembre de 2013, es conocido por haber dado el pistoletazo de salida a la era moderna del ransomware.
CryptoLocker fue una de las primeras familias de ransomware en cifrar con fuerza los archivos de los usuarios gracias a una red de equipos secuestrados. Se calcula que extorsionó unos 3 millones de dólares antes de que un esfuerzo internacional de las fuerzas del orden le cerrara el paso en 2014.
El éxito de CryptoLocker animó a muchos imitadores y allanó el camino para variantes como WannaCry, Ryuk y Petya.
WannaCry
WannaCry, el primer criptogusano de alto perfil (un ransomware que puede propagarse a otros dispositivos de una red) atacó a más de 200 000 ordenadores en 150 países. Los ordenadores afectados eran vulnerables porque los administradores no habían parcheado la vulnerabilidad eterna de Microsoft Windows.
Además de cifrar los datos confidenciales, el ransomware WannaCry amenazó con borrar los archivos si las víctimas no enviaban el pago en un plazo de siete días. Sigue siendo uno de los mayores ataques de ransomware hasta la fecha, con costes estimados de hasta 4 millones de dólares.
Petya y NotPetya
A diferencia de otros ransomware de cifrado, Petya cifra la tabla del sistema de archivos en lugar de archivos individuales, lo que hace que el ordenador infectado no pueda arrancar Windows.
NotPetya, una versión muy modificada, se utilizó para llevar a cabo un ciberataque a gran escala, principalmente contra Ucrania, en 2017. NotPetya era un limpiaparabrisas incapaz de desbloquear los sistemas incluso después de que las víctimas pagaran.
Ryuk
Visto por primera vez en 2018, Ryuk popularizó los ataques de "ransomware de caza mayor" contra objetivos específicos de alto valor, con demandas de rescate que promedian más de 1 millones de dólares. Ryuk puede localizar y desactivar los archivos de copia de seguridad y las funciones de restauración del sistema. En 2021 apareció una nueva cepa con capacidades de criptogusanos.
DarkSide
Dirigido por un grupo que se sospecha que opera desde Rusia, DarkSide es la variante de ransomware que atacó Colonial Pipeline el 7 de mayo de 2021. En lo que muchos consideran el peor ciberataque contra una infraestructura crucial estadounidense hasta la fecha, DarkSide cerró temporalmente el oleoducto que suministra el 45 % del combustible de la Costa Este.
Además de realizar ataques directos, el grupo DarkSide también concede licencias de su ransomware a afiliados a través de acuerdos RaaS.
Locky
Locky es un ransomware de cifrado con un método distinto de infección: utiliza macros ocultas en archivos adjuntos de correo electrónico (archivos de Microsoft Word) disfrazados de facturas legítimas. Cuando un usuario descarga y abre el documento de Microsoft Word, las macros maliciosas descargan de forma secreta el ransomware en el dispositivo del usuario.
REvil
REvil, también conocido como Sodin o Sodinokibi, ayudó a popularizar el método RaaS de la distribución del ransomware.
Conocido por su uso en la caza mayor y los ataques de doble extorsión, REvil estuvo detrás de los ataques de 2021 contra las notables JBS USA y Kaseya Limited. JBS pagó un rescate de 11 millones de dólares después de que los piratas informáticos interrumpieran toda su operación de procesamiento de carne de res en Estados Unidos. El importante tiempo de inactividad afectó a más de 1000 clientes de software de Kaseya.
El Servicio Federal de Seguridad ruso informó de que había desmantelado REvil y acusado a varios de sus miembros a principios de 2022.
Conti
Observada por primera vez en 2020, la banda Conti operaba un extenso esquema de RaaS en el que pagaba a los piratas informáticos un salario regular para usar su ransomware. Conti utilizó una forma única de doble extorsión en la que la banda amenazaba con vender el acceso a la red de una víctima a otros piratas informáticos si la víctima no pagaba.
Conti se disolvió después de que se filtraran los registros de chat internos de la pandilla en 2022, pero muchos exmiembros siguen activos en el mundo de la ciberdelincuencia. Según el X-Force Threat Intelligence Index, los asociados de Conti únicos se han vinculado a algunas de las variantes de ransomware más generalizadas en la actualidad, incluyen BlackBasta, Royal y Zeon.
LockBit
LockBit, una de las variantes de ransomware más comunes en 2023 según el X-Force Threat Intelligence Index, destaca por el comportamiento empresarial de sus desarrolladores. Se sabe que el grupo LockBit adquiere otras cepas de malware del mismo modo que las empresas legítimas adquieren otras compañías.
Aunque las fuerzas de seguridad encautaron algunos de los sitios web de LockBit en febrero de 2024 y el gobierno estadounidense impuso sanciones a uno de los principales líderes de la banda, LockBit sigue atacando a las víctimas.
Las demandas de rescate varían ampliamente, y muchas víctimas optan por no publicar cuánto pagaron, por lo que es difícil determinar el monto promedio del pago del rescate. Dicho esto, la mayoría de las estimaciones lo sitúan en el rango alto de seis a siete cifras. Los atacantes han exigido pagos de rescate de hasta 80 millones de dólares, según la Guía definitiva sobre ransomware de IBM.
Es importante señalar que la proporción de víctimas que pagan algún tipo de rescate se ha reducido drásticamente en los últimos años. Según la empresa de respuesta a incidentes de ciberextorsión Coveware, solo el 37 % de las víctimas pagaron un rescate en 2023, frente al 70 % en 2020.1
Los expertos apuntan a una mejor preparación frente a la ciberdelincuencia, incluida una mayor inversión en copias de seguridad de los datos, planes de respuesta a incidentes y tecnología de prevención y detección de amenazas, como posible motor de este cambio.
Orientación para la aplicación de la ley
Las autoridades policiales federales de Estados Unidos desaconsejan unánimemente a las víctimas de ransomware que paguen las peticiones de rescate. Según el Grupo de Trabajo Conjunto de Investigación Cibernética Cibernética Nacional (NCIJTF), una coalición de 20 agencias federales estadounidenses asociadas encargadas de investigar las ciberamenazas:
"El FBI no anima a pagar un rescate a los actores criminales. El pago de un rescate puede envalentonar a los adversarios para atacar más organizaciones, alentar a otros actores criminales a participar en la distribución de ransomware y/o financiar actividades ilícitas. El pago del rescate tampoco garantiza que se recuperen los archivos de una víctima".
Las fuerzas del orden recomiendan que las víctimas de ransomware denuncien los ataques a las autoridades competentes, como el Centro de Denuncias de Delitos en Internet (IC3) del FBI, antes de pagar un rescate.
Algunas víctimas de ataques de ransomware tienen la obligación legal de informar sobre infecciones de ransomware independientemente de si pagan un rescate. Por ejemplo, el cumplimiento de la HIPAA exige generalmente a las entidades sanitarias que informen de cualquier vulneración de datos, incluidos los ataques de ransomware, al Departamento de Salud y Servicios Humanos.
Bajo ciertas condiciones, pagar un rescate puede ser ilegal.
La Oficina de Control de Activos Extranjeros (OFAC) de los Estados Unidos ha declarado que pagar un rescate a atacantes de países sujetos a sanciones económicas estadounidenses, como Corea del Norte o Irán, viola las regulaciones de la OFAC. Los infractores podrían enfrentarse a sanciones civiles, multas o cargos penales.
Algunos estados de Estados Unidos, como Florida y Carolina del Norte, han prohibido que las agencias gubernamentales estatales paguen un rescate.
Expertos en ciberseguridad y organismos federales como la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y el Servicio Secreto de Estados Unidos recomiendan que las organizaciones tomen medidas de precaución para defenderse de las amenazas de ransomware. Estas medidas pueden incluir:
- Mantener copias de seguridad de los datos confidenciales y las imágenes del sistema, idealmente en discos duros u otros dispositivos que el equipo de TI pueda desconectar de la red en caso de un ataque de ransomware.
- Aplicar parches con regularidad para ayudar a frustrar los ataques de ransomware que aprovechan las vulnerabilidades del software y del sistema operativo.
- Las herramientas de ciberseguridad como el software antimalware, las herramientas de monitorización de red, las plataformas de detección y respuesta de endpoints (EDR) e información de seguridad y gestión de eventos (SIEM) pueden ayudar a los equipos de seguridad a interceptar el ransomware en tiempo real.
- La formación en ciberseguridad de los empleados puede ayudar a los usuarios a reconocer y evitar el phishing, la ingeniería social y otras tácticas que pueden conducir a infecciones de ransomware.
- Implementar políticas de control de acceso, incluida la autenticación multifactor, la segmentación de red y medidas similares, pueden impedir que el ransomware alcance datos confidenciales. Los controles de gestión de identidades y accesos (IAM) también pueden impedir que los criptogusanos se propaguen a otros dispositivos de la red.
- Los planes formales de respuesta a incidentes permiten a los equipos de seguridad interceptar y remediar las brechas en menos tiempo. El informe "Coste de una filtración de datos" concluyó que las organizaciones con planes formales y equipos de respuesta a incidentes dedicados identifican las violaciones 54 días más rápido que las organizaciones que no tienen ninguno de los dos. Este tiempo de detección más rápido reduce los costos de remediación, lo que ahorra a las organizaciones un promedio de 1,49 millones de dólares por infracción.
Aunque existen herramientas de descifrado para algunas variantes de ransomware disponibles públicamente a través de proyectos como No More Ransom2, la reparación de una infección activa de ransomware suele requerir un enfoque multifacético.
Consulte la Guía definitiva sobre ransomware de IBM Security para ver un ejemplo de un plan de respuesta a incidentes de ransomware modelado después del ciclo de vida de las incidencias del Instituto Nacional de Estándares y Tecnología (NIST).
1989: el primer ataque documentado de cibersecuestro, conocido como troyano AIDS o "ataque P.C. El ataque "Cyborg" se distribuye a través de disquetes. Ocultaba directorios de archivos en el ordenador de la víctima y exigía 189 dólares para desocultarlos. Dado que este malware funciona cifrando los nombres de los archivos en lugar de los archivos en sí, es fácil para los usuarios revertir el daño sin tener que pagar un rescate.
1996: al analizar el troyano AIDS, los científicos informáticos Adam L. Young y Moti Yung advirtieron sobre futuras formas de malware que podrían usar criptografía más sofisticada para mantener como rehenes los datos confidenciales.
2005: tras relativamente pocos ataques de cibersecuestro a principios de la década de 2000, comienza un repunte de las infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes que utilizan el cifrado asimétrico. A medida que el nuevo ransomware ofrece formas más efectivas de extorsionar dinero, más ciberdelincuentes comienzan a propagar ransomware en todo el mundo.
2009: la introducción de criptomonedas, especialmente Bitcoin, ofrece a los ciberciberdelincuentes una forma de recibir pagos de rescate no rastreables, impulsando el siguiente aumento en la actividad del ransomware.
2013: la era moderna del ransomware comienza con CryptoLocker inaugurando la ola actual de ataques de cibersecuestro altamente sofisticados basados en cifrado que solicitan el pago en criptomonedas.
2015: la variante de ransomware Tox introduce el modelo de ransomware como servicio (RaaS).
2017: aparece WannaCry, el primer criptogusano replicante ampliamente utilizado.
2018: Ryuk popularizó la caza mayor del ransomware.
2019: los ataques de ransomware de doble y triple extorsión se vuelven más populares. Casi todos los incidentes de ransomware a los que ha respondido el equipo de Respuesta a Incidentes (RI) de IBM Security X-Force desde 2019 ha implicado la doble extorsión.
2022: el secuestro de hilos, en el que los ciberdelincuentes se insertan en las conversaciones legítimas en línea de los objetivos para propagar malware, emerge como un vector de ransomware destacado.
2023: a medida que mejoran las defensas contra el ransomware, muchas bandas de ransomware comienzan a ampliar sus arsenales y a complementar su ransomware con nuevas tácticas de extorsión. En particular, bandas como LockBit y algunos remanentes de Conti comienzan a usar malware de robo de información que les permite robar datos confidenciales y mantenerlos como rehenes sin necesidad de bloquear los sistemas de las víctimas.
Evite que el ransomware interrumpa la continuidad del negocio y recupérese rápidamente cuando se produzcan ataques para minimizar el impacto de las amenazas de ransomware.
La próxima generación de FlashCore Module 4 (FCM4) proporciona un almacenamiento de datos resiliente en caso de un ciberataque. Monitorice continuamente las estadísticas recopiladas de cada E/S utilizando modelos de machine learning para detectar anomalías como el ransomware en menos de un minuto.
Proteja de forma proactiva los sistemas de almacenamiento primario y secundario de su organización contra ransomware, errores humanos, desastres naturales, sabotajes, fallos de hardware y otros riesgos de pérdida de datos.
Regístrese en el webinar para saber cómo puede combinar la potencia de IBM Storage Defender e IBM FlashSystem para luchar contra el ransomware.
Vea la grabación a la carta para conocer las medidas prácticas que puede tomar para crear una operación más resiliente y proteger sus datos.
Obtenga información práctica que le ayudará a comprender cómo los actores de amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.
Notas a pie de página
Todos los vínculos residen fuera de ibm.com
1 Los nuevos requisitos de notificación de ransomware entran en vigor a medida que las víctimas evitan cada vez más pagar. Coveware. 26 de enero de 2024.
2 Herramientas de descifrado. No More Ransom.