El ransomware es un tipo de malware que mantiene como rehenes los datos o el dispositivo de la víctima, amenazando con mantenerlos bloqueados, o algo peor, a menos que la víctima pague un rescate al atacante.
Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17 % de todos los ciberataques en 2022.
Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Mediante la realización de copias de seguridad de los datos de forma regular o continua, una organización podría limitar los costes derivados de este tipo de ataques de cibersecuestro y, a menudo, evitar el pago de la petición de rescate.
Pero en los últimos años, los ataques de ransomware han evolucionado para incluir ataques de doble y triple extorsión que elevan considerablemente la apuesta, incluso para las víctimas que realizan rigurosamente copias de seguridad o pagan el rescate inicial. Los ataques de doble extorsión añaden la amenaza de robar los datos de la víctima y divulgarlos en Internet. Además, los ataques de triple extorsión amenazan con utilizar los datos robados para atacar a los clientes o socios comerciales de la víctima.
El índice X-Force Threat Intelligence de 2023 reveló que la participación del ransomware en todos los incidentes de ciberseguridad disminuyó un 4 por ciento entre 2021 y 2022. Es probable que este descenso se deba a que los defensores están teniendo más éxito a la hora de detectar y prevenir los ataques de ransomware. Pero este resultado positivo se vio eclipsado por una enorme reducción del 94% en el plazo medio de los ataques: de 2 meses a menos de 4 días. Esto da a las organizaciones muy poco tiempo para detectar y frustrar posibles ataques.
Las víctimas de ransomware y los negociadores son reacios a revelar los importes de pago de rescate. Sin embargo, según la Guía definitiva del ransomware, las demandas de rescate han crecido hasta alcanzar las cantidades de siete y ocho cifras. Y los pagos de rescate son solo una parte del coste total de una infección de ransomware. Según el informe "Coste de una filtración de datos" 2023 de IBM, el coste medio de una vulneración de datos causada por un ataque de ransomware fue de 5,13 millones de dólares. Se espera que los ataques de cibersecuestro cuesten a las víctimas unos 30 000 millones de USD en 2023 (enlace externo a ibm.com).
Manténgase informado sobre las últimas tendencias de la ciberdelincuencia con la guía definitiva de IBM sobre ransomware.
Regístrese para recibir el informe "Coste de una filtración de datos"
Hay dos tipos generales de ransomware. El tipo más común, denominado ransomware de cifrado o criptoransomware, mantiene como rehenes los datos de la víctima cifrándolos. A continuación, el atacante exige un rescate a cambio de proporcionar la clave de cifrado necesaria para descifrar los datos.
La forma menos común de ransomware, llamada ransomware no cifrado o ransomware de bloqueo de pantalla, bloquea todo el dispositivo de la víctima, generalmente bloqueando el acceso al sistema operativo. En lugar de iniciarse como de costumbre, el dispositivo muestra una pantalla en la que se pide el rescate.
Estos dos tipos se pueden dividir en estas subcategorías:
Los ataques de cibersecuestro pueden utilizar varios métodos, o vectores, para infectar una red o dispositivo. Algunos de los vectores de infección por ransomware más destacados son:
Los ciberdelincuentes no necesariamente necesitan desarrollar su propio ransomware para explotar estos vectores. Algunos desarrolladores de ransomware comparten su código de malware con los ciberdelincuentes a través de acuerdos de ransomware como servicio (RaaS). El ciberdelincuente, o "afiliado", utiliza el código para llevar a cabo un ataque y luego divide el pago del rescate con el desarrollador. Es una relación mutuamente beneficiosa: los afiliados pueden beneficiarse de la extorsión sin tener que desarrollar su propio malware, y los desarrolladores pueden aumentar sus beneficios sin lanzar ciberataques adicionales.
Los distribuidores de ransomware pueden vender ransomware a través de mercados digitales o reclutar afiliados directamente a través de foros en línea o vías similares. Los grandes grupos de ransomware han invertido importantes sumas de dinero para atraer afiliados.
Un ataque de cibersecuestro suele pasar por estas fases.
Los vectores de acceso más comunes para los ataques de cibersecuestro siguen siendo el phishing y la explotación de vulnerabilidades.
Dependiendo del vector de acceso inicial, esta segunda fase puede implicar una herramienta de acceso remoto intermediario (RAT) o malware antes de establecer el acceso interactivo.
Durante esta tercera fase del ataque, los atacantes se centran en conocer el sistema local y el dominio al que tienen acceso en ese momento. Los atacantes también se centran en obtener acceso a otros sistemas y dominios (lo que se conoce como movimiento lateral).
Aquí, los operadores de ransomware cambian de enfoque para identificar datos valiosos y exfiltrarlos (robarlos), generalmente descargando o exportando una copia por sí mismos. Si bien los atacantes pueden filtrar todos y cada uno de los datos a los que pueden acceder, generalmente se centran en datos especialmente valiosos (credenciales de inicio de sesión, información personal de los clientes, propiedad intelectual) que pueden usar para la doble extorsión.
El ransomware de cifrado comienza identificando y cifrando archivos. Algunos ransomwares de cifrado también desactivan las funciones de restauración del sistema, o borran o cifran las copias de seguridad del ordenador o la red de la víctima, con el fin de aumentar la presión para obtener la clave de descifrado. El ransomware sin cifrado bloquea la pantalla del dispositivo, lo inunda de ventanas emergentes o impide a la víctima utilizar el dispositivo de cualquier otra forma.
Una vez cifrados los archivos y/o desactivado el dispositivo, el ransomware notifica la infección a la víctima, a menudo mediante un archivo .txt. que se coloca en el escritorio del ordenador o en una ventana emergente. La nota de rescate contiene instrucciones sobre cómo pagar el rescate, normalmente en criptomoneda o un método similar imposible de rastrear. El pago se realiza a cambio de una clave de descifrado o la restauración de las operaciones estándar.
Desde 2020, los investigadores en materia de ciberseguridad han identificado más de 130 familias o variantes de ransomware distintas y activas: cepas únicas de ransomware con sus propias firmas de código y funciones.
A lo largo de los años, han circulado muchas variantes de ransomware. Varias cepas son especialmente notables por el alcance de su destrucción, por cómo influyeron en el desarrollo del ransomware o por las amenazas que siguen planteando en la actualidad.
CryptoLocker, que apareció por primera vez en septiembre de 2013, es conocido por haber dado el pistoletazo de salida a la era moderna del ransomware. CryptoLocker fue una de las primeras familias de ransomware en cifrar con fuerza los archivos de los usuarios gracias a una red de equipos secuestrados. Se calcula que extorsionó unos 3 millones de USD antes de que un esfuerzo internacional de las fuerzas del orden le cerrara el paso en 2014. El éxito de CryptoLocker animó a muchos imitadores y allanó el camino para variantes como WannaCry, Ryuk y Petya.
El primer cryptogusano de gran repercusión que puede propagarse a otros dispositivos de una red. WannaCry atacó más de 200 000 ordenadores en 150 países. Los ordenadores afectados eran vulnerables porque los administradores no habían parcheado la vulnerabilidad EternalBlue de Microsoft Windows. Además de cifrar datos confidenciales, el ransomware WannaCry amenazaba con borrar los archivos si no se recibía el pago en un plazo de siete días. Sigue siendo uno de los mayores ataques de ransomware hasta la fecha, con costes estimados de hasta 4000 millones de USD.
A diferencia de otros criptoransomware, Petya cifra la tabla del sistema de archivos en lugar de los archivos individuales, lo que hace que el ordenador infectado no pueda arrancar Windows. NotPetya, una versión muy modificada, se utilizó para llevar a cabo un ciberataque a gran escala, principalmente contra Ucrania, en 2017. NotPetya era un borrador de datos incapaz de desbloquear los sistemas incluso después de pagar el rescate.
Visto por primera vez en 2018, Ryuk popularizó los ataques de "ransomware de caza mayor" contra objetivos específicos de alto valor, con demandas de rescate que promedian más de 1 millones de USD. Ryuk puede localizar y deshabilitar las funciones de copia de seguridad y restauración del sistema; en 2021 se descubrió una nueva cepa con capacidades de criptogusano.
Dirigido por un grupo que se sospecha que opera desde Rusia, DarkSide es la variante de ransomware que atacó el Colonial Pipeline estadounidense el 7 de mayo de 2021. Esta variante se considera el peor ciberataque contra infraestructuras cruciales estadounidenses hasta la fecha. Como consecuencia, se cerró temporalmente el oleoducto que suministra el 45 % del combustible de la costa este de Estados Unidos. Además de lanzar ataques directos, el grupo DarkSide también concede licencias de su ransomware a afiliados a través de acuerdos RaaS.
Locky es un ransomware de cifrado con un método distinto de infección: utiliza macros ocultas en archivos adjuntos de correo electrónico (archivos de Microsoft Word) disfrazados de facturas legítimas. Cuando un usuario descarga y abre el documento de Microsoft Word, las macros maliciosas descargan de forma secreta la carga útil del ransomware en el dispositivo del usuario.
REvil, también conocido como Sodin o Sodinokibi, ayudó a popularizar el enfoque RaaS para la distribución de ransomware. Conocido por su uso en grandes cacerías y ataques de doble extorsión, REvil estuvo detrás de los ataques de 2021 contra las notables JBS USA y Kaseya Limited. JBS pagó un rescate de 11 millones de dólares después de que toda su operación de procesamiento de carne de vacuno de EE. UU. se viera interrumpida, y más de 1000 clientes de software de Kaseya se vieron afectados por un tiempo de inactividad significativo. El Servicio Federal de Seguridad ruso informó de que había desmantelado REvil y acusado a varios de sus miembros a principios de 2022.
Hasta 2022, la mayoría de las víctimas de ransomware cumplían con las demandas de rescate de sus atacantes. Por ejemplo, en el "Estudio sobre la ciberresiliencia en una organización" de 2021 de IBM, el 61% de las empresas participantes que sufrieron un ataque de cibersecuestro en los dos años posteriores al estudio afirmaron haber pagado un rescate.
Pero informes recientes señalan un cambio en 2022. La empresa de respuesta a incidentes de extorsión cibernética Coveware publicó hallazgos de que solo 41 % de las víctimas de ransomware de 2022 pagaron un rescate, en comparación con 51% en 2021 y 70% en 2020 (enlace externo a de ibm.com). Y Chainanalysis, un proveedor de plataformas de datos blockchain, informó de que los atacantes de ransomware extorsionaron a las víctimas casi un 40 % menos de dinero en 2022 que en 2021 (enlace externo a ibm.com). Los expertos apuntan a una mejor preparación frente a la ciberdelincuencia (incluidas las copias de seguridad de los datos) y a una mayor inversión en tecnología de prevención y detección de amenazas como posibles motores de este cambio.
Las agencias federales de aplicación de la ley de EE. UU. disuaden unánimemente a las víctimas de ransomware de pagar demandas de rescate. Según el Grupo de Trabajo Conjunto de Investigación Cibernética Nacional (NCIJTF), una coalición de 20 agencias federales estadounidenses asociadas encargadas de investigar las ciberamenazas:
"El FBI no anima a pagar un rescate a los actores criminales. El pago de un rescate puede envalentonar a los adversarios para atacar más organizaciones, alentar a otros actores criminales a participar en la distribución de ransomware y/o financiar actividades ilícitas. El pago del rescate tampoco garantiza que se recuperen los archivos de una víctima".
Las fuerzas del orden recomiendan que las víctimas de ransomware denuncien los ataques a las autoridades competentes, como el Centro de Denuncias de Delitos en Internet (IC3) del FBI, antes de pagar un rescate. Algunas víctimas de ataques de cibersecuestro pueden estar legalmente obligadas a informar sobre infecciones de ransomware independientemente de si se paga un rescate. Por ejemplo, la conformidad con la HIPAA generalmente requiere que las entidades sanitarias informen de cualquier vulneración de datos, incluidos los ataques de cibersecuestro, al Departamento de Salud y Servicios Humanos.
En determinadas condiciones, pagar un rescate puede ser ilegal. Un aviso de 2020 de la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de Estados Unidos lo pone de relieve. Afirma que pagar un rescate a atacantes de países sometidos a sanciones económicas estadounidenses —como Rusia, Corea del Norte o Irán— constituiría una violación de la normativa de la OFAC. Los infractores podrían enfrentarse a sanciones civiles, multas o cargos penales.
Para defenderse de las amenazas de ransomware, agencias federales como CISA, NCIJFT y el Servicio Secreto de EE. UU. recomiendan que las organizaciones tomen ciertas medidas de precaución, como:
Aunque las herramientas de descifrado para algunas variantes de ransomware están disponibles públicamente a través de proyectos como No More Ransom (enlace externo a ibm.com), la corrección de una infección activa por ransomware a menudo requiere un enfoque polifacético. Consulte la Guía definitiva sobre ransomware de IBM Security para ver un ejemplo de un plan de respuesta a incidentes de ransomware modelado después del ciclo de vida de las incidencias del National Institute of Standard and Technology (NIST).
1989: el primer ataque documentado de cibersecuestro, conocido como troyano AIDS o "ataque P.C. Cyborg", se distribuyó a través de disquetes. Ocultaba directorios de archivos en el ordenador de la víctima y exigía 189 USD para desocultarlos. Pero como cifró los nombres de archivo en lugar de los propios archivos, era fácil para los usuarios revertir los daños sin pagar un rescate.
Año 1996: Al analizar los fallos del virus troyano AIDS, los informáticos Adam L. Young y Moti Yung advirtieron de futuras formas de malware. Dijeron que el malware futuro podrían utilizar un sistema de cifrado de clave pública más sofisticado para mantener secuestrados datos sensibles.
2005: tras relativamente pocos ataques de cibersecuestro a principios de la década de 2000, comienza un repunte de las infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes que utilizan el cifrado asimétrico. A medida que el nuevo ransomware ofrecía formas más efectivas de extorsionar dinero, más ciberdelincuentes comenzaron a propagar ransomware en todo el mundo.
2009: la introducción de criptomonedas, especialmente Bitcoin, ofrece a los ciberdelincuentes una forma de recibir pagos de rescate no rastreables, impulsando el siguiente aumento en la actividad del ransomware.
2013: la era moderna del ransomware comienza con CryptoLocker inaugurando la ola actual de ataques de cibersecuestro altamente sofisticados basados en cifrado que solicitan el pago en criptomonedas.
2015: la variante de ransomware Tox introduce el modelo de ransomware como servicio (RaaS).
2017: aparece WannaCry, el primer criptogusano autorreplicante ampliamente utilizado.
2018: Ryuk popularizó la caza mayor del ransomware.
2019: Los ataques de cibersecuestro de doble y triple extorsión comienzan a aumentar. Casi todos los incidentes de ransomware a los que ha respondido el equipo IBM Security X-Force Incident Reponse desde 2019 ha implicado la doble extorsión.
2022: la apropiación de hilos, en la que los ciberdelincuentes se meten en las conversaciones en línea de sus objetivos, se perfila como un vector de ransomware destacado.
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar integrada IA de nivel empresarial y ofrece productos integrados para seguridad de puntos finales, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
Evite que el ransomware interrumpa la continuidad del negocio y recupérese rápidamente cuando se produzcan ataques con un enfoque zero trust. Este enfoque puede ayudarle a detectar y responder al ransomware más rápidamente y a minimizar el impacto de los ataques de ransomware.
Utilice nuestros servicios de seguridad defensiva, que incluyen programas por suscripción de preparación, detección y respuesta ante emergencias, para ayudarle a detectar, responder y contener un incidente antes de que se produzcan daños importantes.
Emplee nuestros servicios de seguridad ofensiva, que incluyen pruebas de penetración, gestión de vulnerabilidades y simulación de adversarios, para ayudar a identificar, priorizar y remediar errores de seguridad que abarcan todo su ecosistema digital y físico.
Transforme su empresa y gestione los riesgos con un líder de la industria mundial mundial en consultoría de ciberseguridad, cloud y servicios de seguridad gestionados.
Proteja de forma proactiva los sistemas de almacenamiento primario y secundario de su organización contra ransomware, errores humanos, desastres naturales, sabotajes, fallos de hardware y otros riesgos de pérdida de datos.
Regístrese en el webinar del 11 de junio de 2024 a las 11:00 AM EDT para saber cómo puede combinar la potencia de IBM Storage Defender e IBM FlashSystem para luchar contra el ransomware.
Vea la grabación a la carta para conocer las medidas prácticas que puede tomar para crear una operación más resiliente y proteger sus datos.
Obtenga información procesable que le ayudará a comprender cómo los actores de amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.
Lea el informe, que cumple 18 años, para conocer las últimas novedades sobre el creciente panorama de las amenazas y las recomendaciones para ahorrar tiempo y limitar las pérdidas.
Descubra cómo la gestión de eventos y la información de seguridad (SIEM) ofrece supervisión y análisis de eventos en tiempo real, así como seguimiento y registro de datos de seguridad con fines de cumplimiento o auditoría.
Descubra cómo Los Ángeles se asocia con IBM Security para crear el primer grupo de intercambio de ciberamenazas para protegerse de la ciberdelincuencia.
Trabaje con arquitectos y asesores de seguridad sénior de IBM para priorizar sus iniciativas de ciberseguridad en una sesión de design thinking de 3 horas sin coste, virtual o en persona.