¿Qué es el ransomware?
El ransomware es un tipo de malware (software malicioso) utilizado por los ciberdelincuentes. Si una computadora o red ha sido infectada con ransomware, el ransomware bloquea el acceso al sistema o cifra sus datos. Los ciberdelincuentes exigen dinero de rescate a sus víctimas a cambio de divulgar los datos. Para protegerse contra la infección de ransomware, se recomienda un ojo atento y un software de seguridad. Las víctimas de ataques de malware tienen tres opciones después de una infección: pueden pagar el rescate, intentar eliminar el malware o reiniciar el dispositivo. Los vectores de ataque utilizados con frecuencia por los troyanos de extorsión incluyen el Protocolo de escritorio remoto, correos electrónicos de phishing y vulnerabilidades de software. Por tanto, un ataque de ransomware puede tener como objetivo tanto a personas como a empresas.
Identificación del ransomware: se debe hacer una distinción básica
En particular, dos tipos de ransomware son muy populares:
- Locker ransomware. Este tipo de malware bloquea las funciones básicas de la computadora. Por ejemplo, se le puede negar el acceso al escritorio, mientras que el mouse y el teclado están parcialmente desactivados. Esto te permite continuar interactuando con la ventana que contiene la demanda de rescate para realizar el pago. Aparte de eso, la computadora no funciona. Pero hay buenas noticias: el malware Locker no suele tener como objetivo archivos críticos; generalmente solo quiere bloquearlo. Por lo tanto, es poco probable que se destruyan completamente sus datos.
- Ransomware criptográfico. El objetivo del cripto ransomware es cifrar tus datos importantes, como documentos, imágenes y videos, pero no interferir con las funciones básicas de la computadora. Esto genera pánico porque los usuarios pueden ver sus archivos pero no pueden acceder a ellos. Los desarrolladores de criptomonedas a menudo agregan una cuenta regresiva a su demanda de rescate: «Si no paga el rescate antes de la fecha límite, todos sus archivos serán eliminados». Debido a la cantidad de usuarios que desconocen la necesidad de realizar copias de seguridad en la nube o en dispositivos de almacenamiento físico externos, el cripto ransomware puede tener un impacto devastador. En consecuencia, muchas víctimas pagan el rescate simplemente para recuperar sus archivos.
Locky, Petya y compañía.
Ahora ya sabe qué es el ransomware y los dos tipos principales. A continuación, conocerá algunos ejemplos conocidos que te ayudarán a identificar los peligros que plantea el ransomware:
Locky
Locky es un ransomware que fue utilizado por primera vez para un ataque en 2016 por un grupo de piratas informáticos organizados. Locky cifró más de 160 tipos de archivos y se difundió mediante correos electrónicos falsos con archivos adjuntos infectados. Los usuarios cayeron en el truco del correo electrónico e instalaron el ransomware en sus computadoras. Este método de propagación se llama phishing y es una forma de lo que se conoce como ingeniería social. El ransomware Locky se dirige a tipos de archivos que suelen utilizar los diseñadores, desarrolladores, ingenieros y evaluadores.
WannaCry
WannaCry fue un ataque de ransomware que se extendió a más de 150 países en 2017. Fue diseñado para explotar una vulnerabilidad de seguridad en Windows que fue creada por la NSA y filtrada por el grupo de hackers Shadow Brokers. WannaCry afectó a 230.000 ordenadores en todo el mundo. El ataque afectó a un tercio de todos los hospitales del NHS en el Reino Unido, causando daños estimados en 92 millones de libras. Los usuarios fueron bloqueados y se exigió un rescate pagadero en Bitcoin. El ataque expuso el problema de los sistemas obsoletos, porque el pirata informático aprovechó una vulnerabilidad del sistema operativo para la que había existido un parche durante mucho tiempo en el momento del ataque. El daño financiero mundial causado por WannaCry fue de aproximadamente 4 mil millones de dólares.
BadRabbit
Bad Rabbit fue un ataque de ransomware de 2017 que se propagó a través de los llamados ataques drive-by. Se utilizaron sitios web inseguros para llevar a cabo los ataques. En un ataque de ransomware drive-by, un usuario visita un sitio web real, sin saber que ha sido comprometido por piratas informáticos. Para la mayoría de los ataques drive-by, todo lo que se requiere es que un usuario llame a una página que se ha visto comprometida de esta manera. En este caso, sin embargo, ejecutar un instalador que contenía malware disfrazado provocó la infección. Esto se llama cuentagotas de malware. Bad Rabbit le pidió al usuario que ejecutara una instalación falsa de Adobe Flash, infectando así la computadora con malware.
Ryuk
Ryuk es un troyano de cifrado que se extendió en agosto de 2018 y deshabilitó la función de recuperación de los sistemas operativos Windows. Esto hizo que fuera imposible restaurar los datos cifrados sin una copia de seguridad externa. Ryuk también cifró los discos duros de la red. El impacto fue enorme y muchas de las organizaciones estadounidenses que fueron atacadas pagaron las sumas de rescate exigidas. El daño total se estima en más de $ 640,000.
Sombra / Troldesh
El ataque de ransomware Shade o Troldesh tuvo lugar en 2015 y se propagó a través de correos electrónicos no deseados que contenían enlaces o archivos adjuntos infectados. Curiosamente, los atacantes de Troldesh se comunicaron directamente con sus víctimas por correo electrónico. Las víctimas con las que habían establecido una «buena relación» recibieron descuentos. Sin embargo, este tipo de comportamiento es más una excepción que una regla.
Rompecabezas
Jigsaw es un ataque de ransomware que comenzó en 2016. El ataque recibió su nombre de una imagen que mostraba del conocido títere de la franquicia de películas Saw. Con cada hora adicional que quedaba sin pagar el rescate, el ransomware Jigsaw eliminaba más archivos. El uso de la imagen de la película de terror provocó un estrés adicional entre los usuarios.
CryptoLocker
CryptoLocker es un ransomware que se detectó por primera vez en 2007 y se propagó a través de archivos adjuntos de correo electrónico infectados. El ransomware buscó datos importantes en los equipos infectados y los cifró. Se estima que unas 500.000 computadoras se vieron afectadas. Las agencias de aplicación de la ley y las empresas de seguridad finalmente lograron tomar el control de una red mundial de computadoras domésticas secuestradas que se utilizaron para difundir CryptoLocker. Esto permitió a las agencias y a empresas interceptar los datos enviados a través de la red sin que los delincuentes se dieran cuenta. En última instancia, esto resultó en la creación de un portal en línea donde las víctimas podían obtener una clave para desbloquear sus datos. Esto permitió que sus datos fueran divulgados sin la necesidad de pagar un rescate a los delincuentes.
Petya
Petya (que no debe confundirse con ExPetr) es un ataque de ransomware que ocurrió en 2016 y resucitó como GoldenEye en 2017. En lugar de cifrar ciertos archivos, este ransomware malicioso cifró todo el disco duro de la víctima. Esto se hizo cifrando la tabla maestra de archivos (MFT), lo que imposibilita el acceso a los archivos del disco duro. El ransomware Petya se propagó a los departamentos de recursos humanos corporativos a través de una aplicación falsa que contenía un enlace de Dropbox infectado.
Otra variante de Petya es Petya 2.0, que se diferencia en algunos aspectos clave. Sin embargo, en términos de cómo se lleva a cabo el ataque, ambos son igualmente fatales para el dispositivo.
Ojo dorado
La resurrección de Petya como GoldenEye resultó en una infección de ransomware en todo el mundo en 2017. GoldenEye, conocido como el «hermano mortal» de WannaCry, alcanzó más de 2.000 objetivos, incluidos importantes productores de petróleo en Rusia y varios bancos. En un giro alarmante de los acontecimientos, GoldenEye obligó al personal de la planta de energía nuclear de Chernobyl a verificar manualmente el nivel de radiación allí, después de que fueron bloqueados de sus computadoras con Windows.
GandCrab
GandCrab es un ransomware desagradable que amenazaba con revelar los hábitos pornográficos de sus víctimas. Afirmó que había pirateado la cámara web de la víctima y exigió un rescate. Si no se pagaba el rescate, se publicarían en línea imágenes vergonzosas de la víctima. Después de su primera aparición en 2018, el ransomware GandCrab continuó desarrollándose en varias versiones. Como parte de la iniciativa «No More Ransom», los proveedores de seguridad y las agencias policiales desarrollaron una herramienta de descifrado de ransomware para ayudar a las víctimas a recuperar sus datos confidenciales de GandCrab.
B0r0nt0k
B0r0nt0k es un ransomware criptográfico que se centra específicamente en servidores basados en Windows y Linux. Este ransomware dañino cifra los archivos de un servidor Linux y adjunta una extensión de archivo «.rontok». El malware no solo representa una amenaza para los archivos, sino que también realiza cambios en la configuración de inicio, deshabilita funciones y aplicaciones y agrega entradas de registro, archivos y programas.
Dharma Brrr ransomware
Brrr, el nuevo ransomware Dharma, es instalado manualmente por piratas informáticos que luego piratean los servicios de escritorio conectados a Internet. Tan pronto como el pirata informático activa el ransomware, comienza a cifrar los archivos que encuentra. Los datos cifrados reciben la extensión de archivo «.id- [id]. [Email] .brrr».
Ransomware JUSTO DE RANSOMWARE
FAIR RANSOMWARE es un ransomware que tiene como objetivo cifrar datos. Usando un poderoso algoritmo, todos los documentos y archivos privados de la víctima están encriptados. Los archivos cifrados con este malware tienen la extensión de archivo «.FAIR RANSOMWARE» agregada.
Ransomware MADO
El ransomware MADO es otro tipo de ransomware criptográfico. Los datos cifrados por este ransomware reciben la extensión «.mado» y, por lo tanto, ya no se pueden abrir.
Ataques de ransomware
Como ya se mencionó, el ransomware encuentra sus objetivos en todos los ámbitos de la vida. Por lo general, el rescate exigido está entre $ 100 y $ 200. Sin embargo, algunos ataques corporativos exigen mucho más, especialmente si el atacante sabe que los datos bloqueados representan una pérdida financiera significativa para la empresa atacada. Por lo tanto, los ciberdelincuentes pueden ganar enormes sumas de dinero utilizando estos métodos. En los dos ejemplos siguientes, la víctima del ciberataque es, o fue, más importante que el tipo de ransomware utilizado.
Ransomware de WordPress
El ransomware de WordPress, como su nombre indica, se dirige a los archivos del sitio web de WordPress. La víctima es extorsionada para obtener un rescate, como es típico en el ransomware. Cuanto más solicitado sea el sitio de WordPress, es más probable que sea atacado por ciberdelincuentes que utilizan ransomware.
El caso de Wolverine
Wolverine Solutions Group (un proveedor de atención médica) fue víctima de un ataque de ransomware en septiembre de 2018. El malware cifró una gran cantidad de archivos de la empresa, lo que hizo imposible que muchos empleados pudieran abrirlos. Afortunadamente, los expertos forenses pudieron descifrar y restaurar los datos el 3 de octubre. Sin embargo, muchos datos de pacientes se vieron comprometidos en el ataque. Nombres, direcciones, datos médicos y otra información personal podrían haber caído en manos de los ciberdelincuentes.
Ransomware como servicio
El ransomware como servicio ofrece a los ciberdelincuentes con capacidades técnicas bajas la oportunidad de llevar a cabo ataques de ransomware. El malware se pone a disposición de los compradores, lo que significa un menor riesgo y una mayor ganancia para los programadores del software.
Conclusión
Los ataques de ransomware tienen muchas apariencias diferentes y vienen en todas las formas y tamaños. El vector de ataque es un factor importante para los tipos de ransomware utilizados. Para estimar el tamaño y la extensión del ataque, es necesario considerar siempre qué está en juego o qué datos podrían eliminarse o publicarse. Independientemente del tipo de ransomware, la realización de una copia de seguridad de los datos por adelantado y el uso adecuado del software de seguridad pueden reducir significativamente la intensidad de un ataque.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.
