El ransomware es un tipo de malware que retiene los datos o el dispositivo de una víctima como rehenes, amenazando con mantenerlos bloqueados, o peor, a menos que la víctima pague un rescate al atacante.
Según el IBM Security X-Force Threat Intelligence Index 2023, los ataques de ransomware representaron el 17% de todos los ciberataques en 2022.
Los primeros ataques de ransomware simplemente exigían un rescate a cambio de la clave de cifrado necesaria para recuperar el acceso a los datos afectados o el uso del dispositivo infectado. Al realizar respaldos de datos regulares o continuos, una organización podía limitar los costos de estos tipos de ataques de ransomware y, a menudo, evitar el pago del rescate exigido.
Sin embargo, en los últimos años, los ataques de ransomware evolucionaron para incluir ataques de doble y triple extorsión que aumentan considerablemente la apuesta. Incluso las víctimas que mantienen rigurosamente una copia de seguridad de sus datos o pagan el rescate inicial corren peligro. Los ataques de doble extorsión agregan la amenaza de robar los datos de la víctima y filtrarlos en línea. Además, los ataques de triple extorsión amenazan con emplear los datos robados para atacar a los clientes o asociado de negocios de la víctima.
El índice X-Force Threat Intelligence 2023 encontró que la participación del ransomware en los incidentes de ciberseguridad disminuyó en un 4% de 2021 a 2022. Es probable que la disminución se deba a que los defensores tienen más éxito en la detección y prevención de ataques de ransomware. Pero este hallazgo positivo fue eclipsado por una reducción masiva del 94% en el plazo promedio de ataque, de 2 meses a menos de 4 días. Esto les da a las organizaciones muy poco tiempo para detectar y evitar posibles ataques.
Las víctimas y los negociadores de ransomware se rehúsan a divulgar los montos de pago de rescate. Sin embargo, según la Guía definitiva para el ransomware, las demandas de rescate han crecido hasta alcanzar siete y ocho cifras. Además, los pagos de rescate son solo parte del costo total de una infección por ransomware. Según el informe del Costo de una filtración de datos 2023 de IBM , el costo promedio de una filtración de datos causada por un ataque de ransomware fue de USD 5.13 millones. Se espera que los ataques de ransomware costarán a las víctimas un total estimado de 30 millones USD en 2023 (el enlace se encuentra fuera de ibm.com).
Manténgase informado sobre las últimas tendencias dentro de los delitos cibernéticos con la guía definitiva de IBM sobre ransomware.
Regístrese para recibir el informe sobre el costo de una filtración de datos
Hay dos tipos generales de ransomware. El tipo más común, llamado ransomware de cifrado o ransomware criptográfico, mantiene como rehenes los datos de la víctima mediante cifrado.Luego, el atacante exige un rescate a cambio de proporcionar la clave de cifrado necesaria para descifrar los datos.
La forma menos común de ransomware, llamada ransomware sin cifrar o ransomware con bloqueo de pantalla, bloquea todo el dispositivo de la víctima, generalmente bloqueando el acceso al sistema operativo. En lugar de arrancar como de costumbre, el dispositivo muestra una pantalla con la demanda de rescate.
Estos dos tipos se pueden dividir en estas subcategorías:
- Leakware/Doxware es un ransomware que roba o exfiltra datos confidenciales y amenaza con publicarlos. Mientras que las formas anteriores de leakware o doxware a menudo robaban datos sin cifrarlos, las variantes actuales suelen hacer ambas cosas.
- El ransomware móvil incluye todo el ransomware que afecta a los dispositivos móviles. El ransomware para dispositivos móviles, que se entrega a través de una aplicación maliciosa o una descarga no autorizada, suele ser un ransomware sin cifrado porque el respaldo automatizado de datos en la nube, estándar en muchos dispositivos móviles, facilita la reversión de los ataques de cifrado.
- Los wipers o ransomware destructivos amenazan con destruir datos si no se paga el rescate, excepto en los casos en que el ransomware destruye los datos incluso si se paga el rescate. Se sospecha que son agentes o hactivistas de un país o estado, en lugar de delincuentes cibernéticos comunes, quienes despliegan este tipo de wipers.
- Scareware es exactamente lo que parece: un ransomware que intenta asustar a los usuarios para que paguen un rescate. El scareware puede hacerse pasar por un mensaje de un organismo encargado de hacer cumplir la ley, acusando a la víctima de un delito y exigiendo una multa. Alternativamente, podría falsificar una alerta de infección de virus legítima, alentando a la víctima a comprar software antivirus o antimalware. A veces, el scareware es el ransomware, que cifra los datos o bloquea el dispositivo; en otros casos, es el vector del ransomware, que no cifra nada pero coacciona a la víctima para que descargue el ransomware.
Los ataques de ransomware pueden usar varios métodos o vectores para infectar una red o dispositivo. Algunos de los vectores de infección de ransomware más destacados son:
- Correo electrónico de phishing y otros ataques de ingeniería social: los correos electrónicos de phishing manipulan a los usuarios para que descarguen y ejecuten un archivo adjunto malicioso. Este archivo adjunto puede contener el ransomware disfrazado de archivo .pdf de aspecto inofensivo, documento de Microsoft Word u otro archivo. También pueden atraer a los usuarios para que visiten un sitio web malicioso que pasa el ransomware a través del navegador web del usuario. En el Estudio de organizaciones con resiliencia cibernética de 2021 de IBM, el phishing y otras tácticas de ingeniería social causaron el 45 % de todos los ataques de ransomware informados por los participantes de la encuesta, haciéndolos los más comunes de todos los vectores de ataque de ransomware.
- Vulnerabilidades del sistema operativo y del software: Los delincuentes cibernéticos a menudo aprovechan las vulnerabilidades existentes para inyectar código malicioso en un dispositivo o red. Las vulnerabilidades de día cero, que son vulnerabilidades desconocidas para la comunidad de seguridad o identificadas pero aún sin parche, suponen una amenaza particular. Algunos grupos delincuentes de ransomware compran información sobre fallas de día cero de otros hackers para planificar sus ataques. Los hackers también emplearon eficazmente vulnerabilidades parchadas como vectores de ataque, tal como ocurrió en el ataque WannaCry de 2017.
- Robo de credenciales: los delincuentes cibernéticos pueden robar las credenciales de los usuarios autorizados, comprarlas en la web oscura o romperlas a través de la fuerza bruta. Luego, pueden usar estas credenciales para iniciar sesión en una red o computadora y desplegar el ransomware directamente. El protocolo de escritorio remoto (RDP), un protocolo patentado desarrollado por Microsoft para permitir a los usuarios acceder a un equipo de forma remota, es un objetivo popular de robo de credenciales entre los atacantes de ransomware.
- Otro malware: los hackers a menudo usan malware desarrollado para otros ataques para entregar un ransomware a un dispositivo. El troyano Trickbot, por ejemplo, originalmente diseñado para robar credenciales bancarias, se utilizó para difundir la variante de ransomware Conti durante 2021.
- Descargas no autorizadas: los hackers pueden utilizar sitios web para pasar ransomware a dispositivos sin el conocimiento de los usuarios. Los kits de aprovechamiento utilizan sitios web comprometidos para analizar los navegadores de los visitantes en busca de vulnerabilidades de aplicaciones web que puedan usar para inyectar ransomware en el dispositivo. La publicidad maliciosa, anuncios digitales legítimos comprometidos por hackers, puede pasar ransomware a los dispositivos, incluso si el usuario no hace clic en el anuncio.
Los delincuentes cibernéticos no tienen que desarrollar su propio ransomware para aprovechar estos vectores. Algunos desarrolladores de ransomware comparten su código de malware con los delincuentes cibernéticos a través de acuerdos de ransomware como servicio (RaaS). El delincuente cibernético, o "afiliado", utiliza el código para llevar a cabo un ataque y luego divide el pago de rescate con el desarrollador. Es una relación mutuamente beneficiosa: los afiliados pueden beneficiarse de la extorsión sin tener que desarrollar su propio malware, y los desarrolladores pueden aumentar sus ganancias sin lanzar ciberataques adicionales.
Los distribuidores de ransomware pueden vender ransomware a través de mercados digitales o reclutar afiliados directamente a través de foros en línea o vías similares. Los grandes grupos de ransomware han invertido importantes sumas de dinero para atraer afiliados.
Un ataque de ransomware suele pasar por estas etapas.
Los vectores de acceso más comunes para los ataques de ransomware siguen siendo el phishing y el aprovechamiento de vulnerabilidades.
Dependiendo del vector de acceso inicial, esta segunda etapa puede requerir el uso de una herramienta de acceso remoto intermediario (RAT) o malware antes de establecer el acceso interactivo.
Durante esta tercera etapa del ataque, los atacantes se centran en comprender el sistema local y el dominio al que tienen acceso actualmente. Los atacantes también trabajan para obtener acceso a otros sistemas y dominios (lo que se conoce como movimiento lateral).
Aquí los operadores de ransomware cambian su enfoque para identificar datos valiosos y exfiltrarlos (robarlos), generalmente descargando o exportando una copia para ellos mismos. Si bien los atacantes pueden exfiltrar todos y cada uno de los datos a los que pueden acceder, por lo general se centran en datos especialmente valiosos (credenciales de inicio de sesión, información personal de los clientes, propiedad intelectual) que pueden utilizar para una doble extorsión.
El ransomware criptográfico comienza a identificar y cifrar archivos. Algunas versiones de ransomware criptográfico también deshabilitan las características de restauración del sistema o eliminan o cifran los respaldos en el equipo o la red de la víctima para aumentar la presión de pagar la clave de descifrado. El ransomware sin cifrado bloquea la pantalla del dispositivo, inunda el dispositivo con ventanas emergentes o evita que la víctima use el dispositivo.
Una vez cifrados los archivos o inutilizado el dispositivo, el ransomware alerta a la víctima de la infección. Esta notificación suele llegar a través de un archivo .txt archivo depositado en el escritorio de la computadora o a través de una ventana emergente. La nota de rescate contiene instrucciones sobre cómo pagar el rescate, normalmente en criptomoneda o un método similar imposible de rastrear. El pago se realiza a cambio de una clave de descifrado o el restablecimiento de las operaciones estándar.
Desde 2020, los investigadores de ciberseguridad han identificado más de 130 familias o variantes de ransomware distintas y activas: cepas únicas de ransomware con sus propias firmas de código y funciones.
A lo largo de los años, circularon muchas variantes de ransomware. Varias cepas son especialmente notables por el alcance de su destrucción, cómo influyeron en el desarrollo del ransomware o las amenazas que siguen representando en la actualidad.
CryptoLocker
Aparecido por primera vez en septiembre de 2013, CryptoLocker es ampliamente conocido como el inicio de la era moderna del ransomware. Propagado por medio de una botnet (una red de computadoras secuestradas), CryptoLocker fue una de las primeras familias de ransomware en cifrar fuertemente los archivos de los usuarios. Se estima que sus extorsiones sumaron tres millones de dólares antes de que un esfuerzo internacional de aplicación de la ley la cerrara en 2014. El éxito de CryptoLocker generó numerosos imitadores y allanó el camino para variantes como WannaCry, Ryuk y Petya.
WannaCry
El primer criptogusano de alto perfil: un ransomware que puede propagarse a otros dispositivos de una red. WannaCry atacó a más de 200,000 computadoras en 150 países. Las computadoras afectadas eran vulnerables porque los administradores no habían aplicado parches a la vulnerabilidad de EternalBlue Microsoft Windows. Además de cifrar datos confidenciales, el ransomware WannaCry amenazó con borrar archivos si no se recibía el pago en un plazo de siete días. Sigue siendo uno de los mayores ataques de ransomware hasta la fecha, con costos estimados de hasta cuatro mil millones de dólares.
Petya y NotPetya
A diferencia de otros ransomware criptográficos, Petya cifra la tabla del sistema de archivos en lugar de los archivos individuales, lo que implica que el equipo infectado no puede iniciar Windows. NotPetya, una versión muy modificada, se utilizó para llevar a cabo un ciberataque a gran escala, principalmente contra Ucrania, en 2017. NotPetya era un wiper incapaz de desbloquear los sistemas incluso después de que se pagó el rescate.
Ryuk
Visto por primera vez en 2018, Ryuk popularizó los ataques de "ransomware de caza mayor" contra objetivos específicos de alto valor, con demandas de rescate que promedian más de un millón de dólares. Ryuk puede localizar y desactivar archivos de respaldo y características de restauración del sistema; en 2021 se descubrió una nueva cepa con capacidades de criptogusano.
DarkSide
Dirigido por un grupo que se sospecha que opera desde Rusia, DarkSide es la variante de ransomware que atacó el Oleoducto Colonial de Estados Unidos el 7 de mayo de 2021. Esta variante se considera el peor ataque cibernético contra infraestructura crítica de Estados Unidos hasta la fecha. Como consecuencia, se cerró temporalmente el oleoducto que suministra el 45 % del combustible de la costa este de Estados Unidos. Además de lanzar ataques directos, el grupo DarkSide también licencia su ransomware a afiliados a través de acuerdos RaaS.
Locky
Locky es un ransomware criptográfico con un método distinto de infección: utiliza macros ocultas en archivos adjuntos de correo electrónico (archivos de Microsoft Word) disfrazados de facturas legítimas. Cuando un usuario descarga y abre el documento de Microsoft Word, las macros maliciosas descargan secretamente la carga útil del ransomware en el dispositivo del usuario.
REvil/Sodinokibi
REvil, también conocido como Sodin o Sodinokibi, ayudó a popularizar el enfoque RaaS para la distribución de ransomware. Conocido por su uso en la caza mayor y los ataques de doble extorsión, REvil estuvo detrás de los ataques de 2021 contra JBS USA y Kaseya Limited. JBS pagó un rescate de 11 000 000 USD después de que se interrumpió toda su operación de procesamiento de carne de res en EE. UU., y más de 1000 de los clientes de software de Kaseya se vieron afectados por un tiempo de inactividad significativo. El Servicio Federal de Seguridad de Rusia informó que había desmantelado REvil y acusado a varios de sus miembros a principios de 2022.
Hasta 2022, la mayoría de las víctimas de ransomware cumplieron con las demandas de rescate de sus atacantes. Por ejemplo, en el Estudio de organizaciones con resiliencia cibernética 2021 de IBM, el 61 % de las empresas participantes que experimentaron un ataque de ransomware en el lapso de dos años antes del estudio señalaron que habían pagado un rescate.
Sin embargo, informes recientes señalan que hubo un cambio en 2022. La firma de respuesta ante incidentes de extorsión cibernética Coveware publicó hallazgos relativos a que solo el 41 % de las víctimas de ransomware durante 2022 pagaron un rescate, en comparación con el 51 % en 2021 y el 70 % en 2020 (el enlace se encuentra fuera de ibm.com). Chainanalysis, un proveedor de plataformas de datos de blockchain, informó que los atacantes de ransomware obtuvieron casi un 40 % menos dinero de las víctimas en 2022 que en 2021 (el enlace se encuentra fuera de ibm.com). Los expertos apuntan a una mejor preparación para los delitos cibernéticos (incluidas las copias de seguridad) y a una mayor inversión en tecnología de prevención y detección de amenazas como impulsores potenciales detrás de este cambio.
Orientación para las autoridades
Las fuerzas de seguridad federales de Estados Unidos desaconsejan unánimemente a las víctimas de ransomware que paguen las peticiones de rescate. Según la National Cyber Investigative Joint Task Force (NCIJTF), una coalición de 20 organismos federales estadounidenses encargados de investigar las ciberamenazas:
"El FBI no alienta el pago de un rescate a los criminales. Pagar un rescate puede animar a los adversarios a atacar más organizaciones así como alentar a otros delincuentes a participar en la distribución del ransomware o financiar actividades ilícitas. Pagar el rescate tampoco garantiza que se recuperarán los archivos de una víctima".
Las agencias encargadas de hacer cumplir la ley recomiendan que las víctimas de ransomware informen los ataques a las autoridades correspondientes, como el Centro de Denuncias de Delitos en Internet (IC3) del FBI, antes de pagar un rescate. Algunas víctimas de ataques de ransomware pueden estar legalmente obligadas a informar infecciones de ransomware sin importar si se paga un rescate. Por ejemplo, el cumplimiento de HIPAA generalmente requiere que las entidades de atención médica informen cualquier violación de datos, incluidos los ataques de ransomware, al Departamento de Salud y Servicios Humanos.
En ciertas condiciones, pagar un rescate puede ser ilegal. Un aviso de 2020 de la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de Estados Unidos resalta esto. Afirma que pagar un rescate a los atacantes de países que se encuentran bajo sanciones económicas de Estados Unidos, como Rusia, Corea del Norte o Irán, sería una violación de las regulaciones de la OFAC. Los infractores podrían enfrentar sanciones civiles, multas o cargos penales.
Para defenderse contra las amenazas de ransomware, las agencias federales como CISA, NCIJFT y el Servicio Secreto de los Estados Unidos recomiendan que las organizaciones tomen ciertas medidas de precaución, tales como:
- Mantener copias de seguridad de datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que puedan desconectarse de la red.
- Aplicación periódica de parches para prevenir los ataques de ransomware que aprovechan el software y las vulnerabilidades del sistema operativo.
- Actualización de las herramientas de ciberseguridad incluyendo software antimalware y antivirus, firewalls, herramientas de monitoreo de red y puertas de enlace de sitio web seguras. Además, empleando soluciones de ciberseguridad empresarial como orquestación, automatización y respuesta de seguridad (SOAR), detección y respuesta de endpoints (EDR), gestión de eventos e información de seguridad (SIEM) y detección y respuesta extendidas (XDR). Estas soluciones ayudan a los equipos de seguridad a detectar y responder al ransomware en tiempo real.
- Capacitación en ciberseguridad para empleados a fin de ayudar a los usuarios a reconocer y evitar el phishing, la ingeniería social y otras tácticas que pueden conducir a infecciones de ransomware.
- Implementar políticas de control de acceso que incluyan autenticación multifactor, arquitectura de confianza cero, segmentación de red y medidas similares. Estas medidas pueden evitar que el ransomware llegue a datos particularmente confidenciales y evitar que los gusanos criptográficos se propaguen a otros dispositivos de la red.
Aunque las herramientas de descifrado para algunas variantes de ransomware están disponibles públicamente a través de proyectos como No More Ransom (el enlace se encuentra fuera de ibm.com), la reparación de una infección activa por ransomware a menudo requiere un enfoque de muchos flancos. Consulte en la Guía definitiva de ransomware de IBM Security un ejemplo de un plan de respuesta a incidentes de ransomware modelado según el ciclo de vida de respuesta a incidentes del National Institute of Standards and Technology (NIST).
1989: el primer ataque de ransomware documentado, conocido como el troyano AIDS o "PC Cyborg", se distribuyó en disquetes.Ocultaba directorios de archivos en el ordenador de la víctima y exigía 189 dólares para desocultarlos. Sin embargo, debido a que cifraba los nombres de los archivos en lugar de los propios archivos, era fácil para los usuarios revertir el daño sin pagar un rescate.
1996: Al analizar los fallos del virus troyano del AIDS, los informáticos Adam L. Young y Moti Yung advirtieron sobre futuras formas de malware. Dijeron que el malware futuro podría emplear una criptografía de clave pública más sofisticada para mantener como rehenes los datos confidenciales.
2005: después de relativamente pocos ataques de ransomware a principios de la década de 2000, comienza un repunte de infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes para usar el cifrado asimétrico. A medida que el nuevo ransomware ofrecía formas más efectivas de extorsión, más delincuentes cibernéticos comenzaron a propagar ransomware en todo el mundo.
2009: la introducción de la criptomoneda, particularmente el bitcoin, brinda a los delincuentes cibernéticos una forma de recibir pagos de rescate irrastreables, impulsando el próximo aumento en la actividad de ransomware.
2013: la era moderna del ransomware comienza con CryptoLocker, que inaugura la ola actual de ataques de ransomware altamente sofisticados basados en cifrado y que solicitan pago en criptomonedas.
2015: la variante de ransomware Tox presenta el modelo de ransomware como servicio (RaaS).
2017: aparece WannaCry, los primeros criptogusanos autorreplicantes ampliamente utilizados.
2018: Ryuk popularizó la caza mayor en el ransomware.
2019: los ataques de ransomware de doble y triple extorsión comienzan a aumentar. Casi todos los incidentes de ransomware a los que el equipo de respuesta a incidentes de IBM Security X-Force ha respondido desde 2019 han involucrado una doble extorsión.
2022: el secuestro de hilos, en el que los delincuentes cibernéticos se insertan en las conversaciones en línea de los objetivos, surge como un vector de ransomware destacado.
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de endpoint, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
Evite que el ransomware interrumpa la continuidad del negocio y recupérese rápidamente cuando se produzcan ataques con un enfoque de confianza cero. Este enfoque puede ayudarlo a detectar y responder al ransomware más rápido y minimizar el impacto de los ataques de ransomware.
Utilice nuestros servicios de seguridad defensiva, que incluyen preparación ante incidentes, detección y respuesta ante emergencias, para ayudarle a detectar, responder y contener un incidente antes de que se pueda producir un daño significativo.
Emplee nuestros servicios de seguridad ofensiva, que incluyen pruebas de penetración, gestión de vulnerabilidades y simulación de adversarios, para ayudar a identificar, priorizar y remediar fallas de seguridad que cubren todo su ecosistema digital y físico.
Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.
Proteja de forma proactiva los sistemas de almacenamiento primario y secundario de su organización contra ransomware, errores humanos, desastres naturales, sabotaje, fallas de hardware y otros riesgos de pérdida de datos.
Regístrese para el seminario web del 11 de junio de 2024 a las 11:00 a. m. EDT para saber cómo puede combinar el poder de IBM Storage Defender e IBM FlashSystem para combatir el ransomware.
Vea la grabación bajo pedido para conocer los pasos prácticos que puede seguir para crear una operación más resiliente y proteger sus datos.
Encuentre insights procesables que le ayuden a comprender cómo los actores de amenazas están librando ataques y cómo proteger proactivamente a su organización.
Lea el informe, ahora en su 18º año, para obtener la información más reciente sobre el panorama de amenazas en expansión y las recomendaciones para ahorrar tiempo y limitar las pérdidas.
Descubra cómo la administración de información y eventos de seguridad (SIEM) ofrece monitoreo y análisis en tiempo real de eventos, así como seguimiento y registro de datos de seguridad para fines de cumplimiento o auditoría.
Explore cómo Los Ángeles se asocia con IBM Security para crear el primer grupo de intercambio de ciberamenazas para protegerse de los delincuentes cibernéticos.
Trabaje con arquitectos y consultores de seguridad senior de IBM para priorizar sus iniciativas de ciberseguridad en una sesión de pensamiento de diseño de 3 horas sin costo, virtual o en persona.