bienvenido a t-cert
El término ransomware hace referencia a un tipo de malware que luego de comprometer un equipo secuestra su información para extorsionar a las víctimas, solicitando el pago de una suma de criptomonedas para recuperar esos datos. La palabra es un acrónimo de las palabras ransom (rescate) y software.
A continuación, te contamos todo lo que necesitas saber sobre esta amenaza informática que en el último tiempo ha tenido un crecimiento importante y que luego de lo que fue el brote de WannaCry allá por 2017, está generando un impacto significativo en la ciberseguridad afectando a pequeñas, medianas y grandes empresas de varias industrias, así como organismos gubernamentales, instituciones educativas y de salud en todo el mundo.
Existen diferentes tipos de ransomware según las acciones que realizan en el equipo una vez que logran comprometerlo y de acuerdo al método de extorsión del que se valgan:
A grandes rasgos, en el mundo del cibercrimen encontramos tanto campañas de malware que buscan distribuir un malware de manera masiva y aleatoria, y también ataques dirigidos que emplean códigos maliciosos para afectar a empresas y organizaciones de todo tipo de industrias.
La forma de distribución más común del ransomware es a través de correos de phishing con archivos adjuntos o enlaces que intentan engañar a los usuarios mediante ingeniería social para convencerlos de descargar la amenaza. Otras formas de distribución son mediante ataques a conexiones remotas, como el Protocolo de Escritorio Remoto (RDP), aprovechando el uso de contraseñas débiles. También a través de la explotación vulnerabilidades —por ejemplo, mediante sitios web comprometidos utilizados para redirigir a sus visitantes a diferentes tipos de exploits, así como también dispositivos USB, descarga de software pirata, entre otros.
Como podemos deducir de lo anterior, gran parte de los ataques comienza con el engaño de las personas que hacen uso del sistema, utilizando alguna de las numerosas técnicas que conforman a la Ingeniería Social, y también mediante ataques a conexiones remotas como el RDP. No obstante, los atacantes también pueden procurar hacerse del control remoto del sistema aprovechando vulnerabilidades en equipos desactualizados, mal configurados y/o sin ninguna solución de seguridad instalada.
Si bien es posible que se restituya el acceso a los archivos una vez pagado el rescate, es una práctica desalentada ya que no solo se está contribuyendo a la continuación de una actividad delictiva, sino que además nada puede garantizar la recuperación de los archivos e incluso podría motivar futuros intentos de ataque ahora que los criminales conocen que la víctima está dispuesta a pagar. Por estas razones, apelamos a la prevención e inversión en seguridad para reducir al mínimo el riesgo de un ataque.
No, igual eres vulnerable.
El motivo principal para la generación de malware es el rédito económico. Por ello, los atacantes suelen generar mayor cantidad de códigos maliciosos para las plataformas más utilizadas y con mayor cantidad de potenciales víctimas. No obstante, en los últimos años los ataques de ransomware dejaron de concentrarse en afectar a la mayor cantidad posible de usuarios para centrarse en un menor grupo de víctimas a las cuales demandar mayores sumas de dinero por el rescate de su información. De hecho, en el último tiempo aumentaron considerablemente los montos que solicitan los atacantes a las víctimas. En parte esto se debe a que los ataques son dirigidos a blancos previamente analizados y que, según el criterio de los atacantes, o cuentan con los recursos para hacer frente al pago del rescate o estiman que las consecuencias que un ataque puede tener sobre un blanco en particular provocará una presión suficiente para que se inclinen por la opción de pagar.
Aunque existe una mayor variedad de ransomware para plataformas de Microsoft, también los hay para equipos de Apple, distribuciones de Linux, teléfonos móviles y demás arquitecturas de la Internet de las Cosas (IoT). Por eso es tan importante que los usuarios adopten herramientas de protección y buenas prácticas en el uso de todos sus equipos.
Además del cambio de enfoque que han tenido en los últimos años pasando de los ataques masivos a los ataques dirigidos, con el paso del tiempo los atacantes también fueron añadiendo más características para aumentar la peligrosidad y efectividad de sus creaciones. Un ejemplo de ello es el infame WannaCry que en 2017 paralizó centenas de sistemas a nivel mundial en un ataque sin precedentes y fue definido como el primer “ransomworm”; es decir, un tipo de ransomware con propiedades de gusano capaz de propagarse a sí mismo sin la ayuda del usuario sacando provecho de fallas de seguridad presentes en otros equipos de la misma red. En el caso de WannaCry, aprovechando una vulnerabilidad conocida como EternalBlue que afectaba al servicio de archivos compartidos de Windows.
A fines de ese mismo año, también se identificó otro tipo de ransomware, denominado Wiperware, un tipo de malware que se asemeja a los criptoransomware, pero que además de cifrar la información también intenta cifrar -generalmente con éxito- el registro principal de arranque o MBR (Master Boot Record), dejando inutilizable el sistema operativo.
Hacia fines del 2019 comenzó a observarse una tendencia en los ataques de ransomware que hoy es una realidad: esta nueva modalidad hace uso de una técnica conocida como doxing, que consiste en obtener datos confidenciales de las víctimas y amenazar con hacerlos públicos, a menos que se pague la extorsión. Esto sin duda aumenta la presión sobre los afectados, ya que no solo se trata de recuperar la información cifrada, sino también evitar que los datos robados se hagan públicos. Tal como explica el ESET Quarterly Threat, los operadores detrás del ransomware Maze fueron los primeros en adoptar la práctica de doxing en sus ataques. Si bien sus campañas comenzaron a detectarse desde mayo de 2019, a partir de octubre comenzaron a incluir la filtración de información de la víctima como parte de la amenaza. Poco tiempo después, esta modalidad extorsiva fue adoptada por una gran cantidad de grupos de ransomware que a su vez sumaron otras modalidades extorsivas para aquellas víctimas que no estén interesadas en llegar a un acuerdo, como son las llamadas en frío y los ataques de DDoS.
Por otra parte, la direccionalidad de los ataques llevó a los cibercriminales a evolucionar hacia una mayor sofisticación y planificación. Ahora necesitan estudiar en profundidad a los blancos a los que apuntan, lo que implica en muchos casos un período en el que los atacantes, luego del compromiso inicial, exploran la red con el objetivo de recopilar información de interés y conocer los recursos de la víctima para luego en un momento liberar el ransomware en el sistema. Esto les permite, entre otras cosas, determinar el monto máximo que una víctima podría pagar por el rescate.
Otro aspecto que vale la pena señalar como parte de esta evolución es el Ransomware as a Service (RaaS), un modelo que permite que actores maliciosos sin grandes conocimientos técnicos puedan iniciar una campaña de ransomware al contratar la creación de malware como un servicio o sumarse como afiliados para distribuir la amenaza a cambio de un porcentaje de las ganancias. Este modelo, de gran auge en la actualidad, se descubrió tiempo atrás a través de una herramienta denominada Tox, la cual permitía la creación de este tipo de malware de manera automática, independientemente de los conocimientos técnicos de quien la utiliza.
De la misma manera, el ransomware de código abierto (cuyo primer referente fue llamado Hidden Tear), desencadenó nuevos escenarios para el desarrollo de este tipo de programas maliciosos y sus variantes, donde es posible la rápida creación de malware cada vez más sofisticado y masivo mediante la mejora de código preexistente.
El curso de acción a seguir tras verse comprometido por ransomware dependerá de las medidas de seguridad que se hayan tomado antes de sufrir el incidente. Si se cuenta con un backup, es posible restaurar la información desde allí. Si el backup está desactualizado, cabe evaluar cuánta información puede restaurarse y, de ser suficiente, evitar el pago. Si no se posee backup o este fue igualmente comprometido, quedará en manos de las víctimas decidir si desean correr el riesgo de efectuar el pago. Como mencionamos anteriormente, esta es una práctica que desaconsejamos.
Si tenemos la habilidad necesaria, podemos extraer la muestra de ransomware del equipo para identificar qué variante especifica es la que ha logrado colarse dentro del sistema, utilizando servicios como VirusTotal para analizar el archivo. También podemos escanear nuestro equipo con una solución de seguridad -si es que no tenemos ninguna ya- para que detecte el código malicioso y nos informe a qué familia de ransomware pertenece. Una vez que tengamos esta información, podemos utilizar motores de búsqueda para ver si existe alguna herramienta que nos permita recuperar los archivos. ¡Cuidado! Muchas páginas prometen herramientas de descifrado de archivos, pero en realidad buscan aprovecharse del pánico de los usuarios para instalar más malware en el equipo. Siempre dirígete a sitios de confianza. Ten en cuenta que, a decir verdad, para la mayor parte del ransomware no existe forma de recuperar los archivos una vez que estos se han visto afectados.
Otro consejo que puedes adoptar si te has convertido en víctima de ransomware es ejecutar algún programa como Recuva o ShadowExplorer, ya que algunas muestras obsoletas de ransomware utilizan un borrado inseguro de archivos que le permite a las víctimas recuperarlos con herramientas para restauración de archivos. Ten en cuenta que estas técnicas de recuperación de archivos ya son bien conocidas por los atacantes, y las nuevas versiones de ransomware se aseguran de que no se puedan recuperar los archivos de esta manera.
De cualquier modo, algo que siempre debe realizarse tras un incidente de seguridad es un análisis de este para determinar por qué ocurrió y corregir la situación a futuro para evitar nuevos ataques. La clave para combatir al ransomware es la prevención.
.jpg){kind=small}