¿Qué es el ransomware? Cómo funciona y cómo eliminarlo

¿Cómo funciona el ransomware?

El ciclo de vida del ransomware tiene seis etapas generales: distribución e infección de malware; comando y control; descubrimiento y movimiento lateral; robo malicioso y cifrado de archivos; extorsión; y resolución.

Etapa 1: Distribución e infección de malware

Antes de que los atacantes puedan exigir un rescate, deben infiltrarse en los sistemas de sus víctimas e infectarlos con malware. Los vectores de ataque de ransomware más comunes son el phishing, el protocolo de escritorio remoto (RDP) y el abuso de credenciales, y las vulnerabilidades de software explotables:

• Phishing o suplantación de identidad. Este es el tipo de ingeniería social más popular, y sigue siendo el principal vector de ataque para todo tipo de malware. Los atacantes combinan correos electrónicos que parecen legítimos con enlaces y archivos adjuntos maliciosos para engañar a los usuarios para que instalen malware sin saberlo. Los ataques de smishing, vishing, phishing y de abrevadero (watering hole) son todas formas de estafas de phishing y de ingeniería social que los atacantes utilizan para engañar a las personas para que inicien la instalación de malware.
• RDP y abuso de credenciales. Esto implica el uso de ataques de fuerza bruta o de relleno de credenciales o la compra de credenciales de la web oscura, con el objetivo de iniciar sesión en los sistemas como usuarios legítimos y luego infectar la red con malware. RDP, uno de los favoritos de los atacantes, es un protocolo que permite a los administradores acceder a servidores y escritorios desde prácticamente cualquier lugar y permite a los usuarios acceder de forma remota a sus escritorios. Sin embargo, las implementaciones del protocolo de escritorio remoto (RDP) mal protegidas son un punto de entrada común del ransomware.
• Vulnerabilidades del software. También son un objetivo frecuente de infecciones de ransomware. Los atacantes se infiltran en los sistemas de la víctima atacando software sin parches o desactualizado. Uno de los mayores incidentes de ransomware de la historia, WannaCry, está vinculado al exploit EternalBlue, una vulnerabilidad en versiones sin parches del protocolo Windows Server Message Block (SMB).

Etapa 2: Comando y control

Un servidor de comando y control (C&C) configurado y operado por los atacantes del ransomware envía claves de cifrado al sistema de destino, instala malware adicional y facilita otras etapas del ciclo de vida del ransomware.

Etapa 3: Descubrimiento y movimiento lateral

Esta etapa de dos pasos implica que los atacantes primero recopilen información sobre la red de la víctima para ayudarlos a comprender mejor cómo lanzar un ataque exitoso y luego propaguen la infección a otros dispositivos y eleven sus privilegios de acceso para buscar datos valiosos.

Etapa 4: Robo malicioso y cifrado de archivos

En esta etapa, los atacantes extraen datos al servidor C&C para utilizarlos en ataques de extorsión en el futuro. Luego, los atacantes cifran los datos y los sistemas utilizando las claves enviadas desde su servidor C&C.

Etapa 5: Extorsión

Los atacantes exigen el pago de un rescate. La organización ahora sabe que es víctima de un ataque de ransomware.

Etapa 6: Resolución

La organización víctima debe entrar en acción para abordar y recuperarse del ataque. Esto podría implicar restaurar copias de seguridad, implementar un plan de recuperación de ransomware, pagar el rescate, negociar con atacantes o reconstruir sistemas desde cero.

¿Cuáles son los diferentes tipos de ransomware?

El ransomware se define y clasifica según cómo se entrega y su impacto. La entrega incluye ransomware como servicio (RaaS), entrega automatizada (no como servicio) y entrega operada por humanos. El impacto podría ser la indisponibilidad de datos, la destrucción de datos, la eliminación de datos y la exfiltración y extorsión de datos.

Los siguientes términos describen con más detalle los diferentes tipos de ransomware:

• El ransomware Locker bloquea por completo a las víctimas de sus datos o sistemas.
• El ransomware Crypto cifra todos o algunos de los archivos de las víctimas.
• El scareware asusta a las víctimas haciéndoles creer que sus dispositivos están infectados con ransomware cuando tal vez no lo estén. Luego, los atacantes engañan a las víctimas para que compren software que supuestamente eliminará el ransomware cuando en realidad roba datos o descarga malware adicional.
• El extortionware, también conocido como software de fuga (leakware), doxware y software de exfiltración (exfiltrationware), implica que los atacantes roben los datos de las víctimas y amenacen con hacerlos públicos o venderlos en la web oscura.
• El malware Wiper actúa como ransomware, pero en realidad es una forma destructiva de malware que borra datos de los sistemas de las víctimas, incluso si realizan pagos de rescate.
• El ransomware de doble extorsión cifra los datos de las víctimas y los extrae para extorsionarlas y obligarlas a pagar un rescate, potencialmente dos veces.
• El ransomware de triple extorsión cifra los datos de las víctimas, extrae datos para extorsionar a las víctimas y añade una tercera amenaza. A menudo, este tercer vector es un ataque DDoS o la extorsión de los clientes, socios, proveedores y partes interesadas de las víctimas para que paguen rescates o insten a la organización inicialmente infectada a pagar. Esto podría dar lugar a que los atacantes reciban tres o más pagos de rescate por un solo ataque.
• RaaS, un modelo de entrega más que un tipo de ransomware, a menudo se incluye en las listas de tipos de ransomware. RaaS es un modelo basado en suscripción en el que los desarrolladores de ransomware venden el malware de pago por uso a los operadores de ransomware, quienes les dan a los desarrolladores un porcentaje de las ganancias del ataque.

¿Cuáles son los efectos del ransomware en las empresas?

Dependiendo de la sofisticación del ataque, la motivación del atacante y las defensas de la víctima, las consecuencias del ransomware pueden variar desde inconvenientes menores hasta una recuperación costosa y dolorosa y una devastación total.

Cuando la gente escucha: "Hemos sido atacados por ransomware", sus mentes generalmente piensan en el monto de la demanda de rescate. La encuesta de Sophos encontró que el pago promedio por ransomware en 2023 fue de 1,54 millones de dólares, frente a los US$812.380 dólares del año anterior.

Sin embargo, el costo total de un ataque de ransomware supera con creces el precio del rescate. El "Informe sobre el Costo de una Vulneración de Datos 2023" de IBM encontró que el monto promedio en dólares asociado a un ataque de ransomware fue de US$5,13 millones de dólares, un aumento del 13 % con respecto al año anterior, y eso ni siquiera incluye el costo del pago del rescate.

La diferencia se puede atribuir a múltiples factores, incluidos los siguientes:

• Exposición o pérdida de datos.
• Tiempo de inactividad del sistema.
• Productividad perdida.
• Pérdida de ingresos.
• Multas de cumplimiento legal y regulatorio.

El ransomware también puede tener los siguientes efectos:

• Reputación empresarial dañada.
• Bajada de la moral de los empleados.
• Pérdida de confianza y lealtad del cliente.
• La organización se convierte en un objetivo potencial para futuros ataques.

El seguro cibernético podría ayudar a reducir la carga financiera de un ataque de ransomware. Los servicios de seguros cibernéticos generalmente ofrecen servicios previos a la vulneración –como capacitación, escaneo de vulnerabilidades y ejercicios prácticos–, así como servicios posteriores a la vulneración, incluidos esfuerzos de recuperación de datos y asistencia en la investigación de vulneraciones. Algunos servicios de seguros cibernéticos también trabajarán con servicios de negociación para intentar reducir los montos del pago de rescate.

Sin embargo, encontrar cobertura de seguro cibernético no siempre es fácil. La avalancha de ataques de ransomware en los últimos cinco años ha provocado enormes pérdidas para las aseguradoras cibernéticas, lo que ha resultado en aumentos de primas o incluso denegación de cobertura a los clientes.

Las investigaciones han demostrado que denunciar una infracción a las autoridades podría reducir el costo de un incidente de ransomware. La encuesta de IBM encontró que el costo promedio de una vulneración de ransomware fue de $5,11 millones cuando las fuerzas del orden no estaban involucradas, en comparación con $4,64 millones cuando las fuerzas del orden sí estaban involucradas.

Los tomadores de decisiones deben discutir si deben reportar una infracción a las autoridades. Los expertos en seguridad y las fuerzas del orden recomiendan que cualquier organización afectada por ransomware notifique a las autoridades como CISA, el Centro de Denuncias de Delitos en Internet, o la oficina local del FBI de la organización.

Algunas organizaciones están obligadas por ley a informar sobre ataques de ransomware en Estados Unidos. Las organizaciones públicas, por ejemplo, deben informar los ataques cibernéticos dentro de los cuatro días hábiles, según las nuevas regulaciones anunciadas por la Comisión de Bolsa y Valores. En algunos casos, es posible que las aseguradoras cibernéticas no emitan pagos a las víctimas si no han notificado a una agencia federal.

Además de decidir si denunciar una infracción, quienes toman las decisiones deben discutir si divulgar el ataque al público. No existe una ley nacional de notificación de ataques de ransomware para empresas privadas, pero si los ataques involucran información de identificación personal, las organizaciones deben notificar a las personas afectadas.

Objetivos comunes del ransomware

Si bien ciertas industrias, como las de infraestructura crítica, educación y atención médica, tienden a aparecer en los titulares cuando se convierten en víctimas de ransomware, es importante señalar que ninguna organización –independientemente de su tamaño o industria– es inmune a los ataques de ransomware.

Dicho esto, el informe de Sophos enumera los siguientes como los 13 principales objetivos de ransomware por sector:

• Educación.
• Construcción y propiedad.
• Gobierno central y federal.
• Medios, entretenimiento y ocio.
• Gobierno local y estatal.
• Minorista.
• Infraestructura energética y de servicios públicos.
• Distribución y transporte.
• Servicios financieros.
• Servicios empresariales, profesionales y jurídicos.
• Cuidado de la salud.
• Manufactura y producción.
• TI, tecnología y telecomunicaciones.

Historia del ransomware y ataques de ransomware famosos

El ransomware ha acosado a organizaciones e individuos durante más de tres décadas, y la primera campaña de ransomware conocida llegó a sus víctimas a través de correo postal en 1989. El biólogo educado en Harvard Joseph L. Popp, ahora considerado el "padre del ransomware", envió disquetes infectados a 20.000 personas que habían asistido recientemente a una conferencia sobre el SIDA de la Organización Mundial de la Salud.

El malware de Popp pasó a ser conocido como el troyano SIDA. Al insertarlo en la computadora de la víctima, el disco –que parecía contener un cuestionario de investigación médica, pero en realidad albergaba un código malicioso– cifraba el sistema e indicaba a la víctima que enviara $189 a un apartado postal en Panamá. Los expertos en TI pronto encontraron una clave de descifrado, pero el incidente marcó el comienzo de una nueva era cibercriminal.

A pesar de los primeros esfuerzos de Popp, el ransomware no cobraría importancia hasta la década de 2000, cuando el uso de internet se disparó. Las primeras variantes, como GPCode y Archievus, finalmente dieron paso a cepas más sofisticadas. A principios de la década de 2010 surgieron varios tipos nuevos de ransomware y modelos de entrega de ransomware, incluido el ransomware locker, como WinLock en 2011; RaaS, como Reveton en 2012; y ransomware criptográfico, como CryptoLocker en 2013.

El nacimiento de la criptomoneda en 2009 marcó otro momento crucial en la historia del ransomware, ya que brindó a los actores de amenazas una forma fácil y anónima de cobrar pagos. En 2012, Reveton se convirtió en una de las primeras campañas de ransomware en la que los atacantes exigían a las víctimas el pago de rescates en bitcoins.

WannaCry sube la apuesta

En 2017, cientos de miles de computadoras con Microsoft Windows fueron víctimas de una nueva variante de ransomware, el notorio criptogusano WannaCry, en uno de los mayores ataques de ransomware de todos los tiempos. Los actores de la amenaza se dirigieron a organizaciones en 150 países, incluidos importantes bancos, agencias de aplicación de la ley, organizaciones de atención médica y empresas de telecomunicaciones. Podría decirse que WannaCry marcó el comienzo de un nuevo capítulo en el ransomware, en el que los ataques se volvieron más grandes, más lucrativos, más destructivos y más extendidos.

Como gusano, WannaCry es capaz de autorreplicarse, moviéndose lateralmente para infectar automáticamente otros dispositivos en una red sin asistencia humana. El malware utiliza el exploit EternalBlue, desarrollado originalmente por la Agencia de Seguridad Nacional y filtrado por los hackers de Shadow Brokers, que aprovecha una vulnerabilidad en la implementación del protocolo SMB por parte de Microsoft. Aunque Microsoft lanzó una actualización de software que solucionaba la vulnerabilidad antes de los ataques, los sistemas sin parches siguen siendo víctimas de infecciones WannaCry hasta el día de hoy.

Poco después de que comenzaran los ataques WannaCry, NotPetya –una variante del ransomware Petya que había surgido un año antes–, comenzó a aparecer en los titulares. Al igual que WannaCry, NotPetya aprovecha el exploit EternalBue. Sin embargo, como wiperware, destruye los archivos de las víctimas después de cifrarlos, incluso si cumplen con las demandas de rescate.

NotPetya causó pérdidas estimadas en 10 mil millones de dólares en todo el mundo. Uno de los objetivos más destacados, el gigante danés de transporte y logística AP Moller-Maersk, perdió alrededor de 300 millones de dólares en el incidente. La CIA ha atribuido el ataque de ransomware a una agencia de espionaje militar rusa y, según el proveedor de ciberseguridad ESET, alrededor del 80 % de los objetivos de NotPetya estaban en Ucrania.

En 2018, otra variante de ransomware notoria, Ryuk, se convirtió en una de las primeras en cifrar unidades y recursos de red y deshabilitar Windows System Restor. Ryuk hizo prácticamente imposible que las víctimas recuperaran sus datos si no tenían herramientas de reversión o copias de seguridad fuera de línea, a menos que pagaran los rescates.

Tendencias recientes de ransomware

La llamada caza de alto nivel, en la que los operadores de ransomware apuntan a grandes organizaciones con mucho dinero, se ha disparado en los últimos años. Entre las víctimas de ransomware de alto perfil y los ataques de ransomware de alto impacto se incluyen Colonial Pipeline, JBS USA, el gobierno de Costa Rica, el servicio nacional de salud de Irlanda, Travelex, CNA Financial y muchos más.

A finales de la década de 2010 también se produjo un aumento de nuevas formas de ransomware, incluido el ransomware de doble y triple extorsión. RaaS también continúa creciendo en popularidad y sofisticación, lo que hace posible que los actores de amenazas con capacidades y recursos técnicos limitados se conviertan en operadores de ransomware. En 2021, por ejemplo, el ransomware atribuido a la operación RaaS de la banda REvil afectó al proveedor de servicios gestionados Kaseya, en uno de los episodios de ransomware más grandes de la historia. Más de un millón de dispositivos resultaron infectados.

Cómo prevenir ataques de ransomware

La prevención del ransomware es un gran desafío para organizaciones de todos los tipos y tamaños, y no existe una solución mágica. Los expertos dicen que las empresas necesitan una estrategia múltiple de prevención de ransomware que incluya lo siguiente:

• Seguridad de defensa en profundidad. Un enfoque de defensa en profundidad incluye controles de seguridad en capas que funcionan en conjunto para bloquear la actividad maliciosa. Si el malware logra burlar un control, la esperanza es que otro mecanismo de seguridad superpuesto lo detenga.
  Los expertos recomiendan, como mínimo, implementar herramientas y estrategias fundamentales de ciberseguridad, como antimalware, autenticación multifactor, firewalls, filtrado de seguridad de correo electrónico, filtrado web, análisis de tráfico de red, listas de permitidos/denegados, detección y respuesta de terminales, el principio de privilegio mínimo y control remoto seguro, incluidas VPN y acceso a redes de confianza cero. También aconsejan a las organizaciones que limiten o bloqueen el uso de RDP.

• Controles de seguridad avanzados. Si bien los controles básicos de ciberseguridad pueden reconocer y detectar muchas variantes conocidas de ransomware, es más probable que las tecnologías de protección avanzadas descubran ataques novedosos. Considere herramientas y estrategias como detección y respuesta extendidas (XDR), detección y respuesta administradas, Secure Access Service Edge, SIEM, análisis de comportamiento de usuarios y entidades, seguridad de confianza cero y engaño cibernético.
• Gestión de parches. Cuando el ataque de ransomware WannaCry se produjo por primera vez en mayo de 2017, aprovechó una vulnerabilidad conocida para la cual Microsoft había lanzado un parche dos meses antes, una que cientos de miles de víctimas aún no habían implementado. Sorprendentemente, las organizaciones con sistemas sin parches siguen siendo víctimas de WannaCry y muchos otros ataques heredados.
  Si bien las organizaciones a veces tienen buenas razones para retrasar las actualizaciones de software y sistemas –por ejemplo, porque los parches pueden causar problemas de rendimiento que afectan las operaciones comerciales–, deben sopesarlas con los costos de incidentes de seguridad potencialmente catastróficos. Siga las mejores prácticas de administración de parches para reducir drásticamente el riesgo de ransomware.

• Copias de seguridad de datos. Las copias de seguridad de datos críticos pueden efectivamente cortocircuitar un ataque de ransomware, permitiendo a una organización restaurar sus operaciones sin atender las demandas de los ciberdelincuentes. Sin embargo, lo más importante es que la copia de seguridad debe ser inaccesible desde el entorno de TI principal para que los actores de amenazas no puedan encontrarla y cifrarla durante la intrusión. También es importante señalar que, si bien las copias de seguridad son una parte importante de la defensa contra el ransomware, no son una panacea, especialmente en el caso de ataques de extorsión doble o triple.
  Las organizaciones que utilizan copias de seguridad basadas en la nube para protegerse contra ransomware deben conocer las preguntas correctas que deben hacer a los proveedores para garantizar que sus datos estén en buenas manos.

• Capacitación en concientización sobre seguridad. Los operadores de ransomware frecuentemente obtienen acceso a las redes corporativas a través de medios detectables y prevenibles. Podría decirse que la educación del usuario final es el elemento más importante –y el más difícil– de la prevención del malware. La capacitación en concientización sobre seguridad debe ser dinámica y atractiva, y debe incluir detalles específicos sobre el ransomware para enseñar a los usuarios cómo evitar ataques y qué hacer si creen que uno podría estar en marcha.

Cómo detectar ataques

Incluso las organizaciones que siguen las mejores prácticas de prevención de ransomware serán inevitablemente víctimas de ataques. De hecho, muchos expertos dicen que las empresas no deberían considerar la cuestión de si, sino de cuándo.

Sin embargo, si los equipos de seguridad pueden detectar un ataque de ransomware en sus primeras etapas, podrían aislar y eliminar a los actores maliciosos antes de que tengan tiempo de encontrar, cifrar y filtrar datos confidenciales.

Una primera línea de defensa importante son las herramientas antimalware que pueden reconocer variantes conocidas de ransomware en función de sus firmas digitales. Algunas ofertas, como las plataformas XDR y SIEM, también analizan en busca de anomalías de comportamiento para detectar cepas de ransomware novedosas y que de otro modo serían irreconocibles. Los posibles indicadores de compromiso incluyen ejecuciones anormales de archivos, tráfico de red y llamadas API, cualquiera de los cuales podría indicar un ataque de ransomware activo.

Algunas organizaciones utilizan la detección basada en engaños para ahuyentar a los adversarios, atrayéndolos con activos de TI falsos que actúan como trampas para alertar a los equipos de seguridad sobre su presencia. Si bien los señuelos cibernéticos requieren considerables recursos para su implementación y mantenimiento, tienen tasas de falsos positivos excepcionalmente bajas, lo que los convierte en armas valiosas en la lucha contra el ransomware.

Cómo eliminar el ransomware

Cualquier sugerencia creíble de que se está produciendo una intrusión de ransomware debería desencadenar automáticamente el primer paso de un plan de respuesta a incidentes de ransomware: la validación del ataque. Si el equipo de seguridad confirma que el incidente es efectivamente un ataque de ransomware, puede proceder con los siguientes pasos:

• Reúna al equipo de respuesta a incidentes. Este grupo debe incluir representantes de TI, dirección ejecutiva, equipos legales y de relaciones públicas. Fundamentalmente, todo el mundo debería saber lo siguiente mucho antes de que se produzca una crisis real:
  • Cómo recibirán la notificación de una incidencia.
  • Sus funciones y responsabilidades particulares.
  • Cómo comunicarse entre sí.
• Analice el incidente. Trabaje lo más rápido posible para determinar hasta qué punto se ha propagado el malware.
• Contenga el incidente. Desconecte y ponga en cuarentena inmediatamente cualquier sistema y dispositivo infectado en un esfuerzo por minimizar el impacto del malware. Idealmente, existe una tecnología de administración de red que pueda poner en cuarentena automáticamente los puntos finales que muestren un comportamiento atípico, bloquear las conexiones del servidor C&C y bloquear segmentos de red para evitar el movimiento lateral. La automatización puede acelerar drásticamente el proceso de contención cuando el tiempo es esencial. Después de contener la infección, verifique los recursos de respaldo para confirmar que estén intactos y seguros.
• Investigue. Recopile tanta información como sea posible sobre el ataque de ransomware y su gravedad. Evaluar resultados potenciales y hacer recomendaciones a los ejecutivos que toman decisiones.
• Erradique el malware y recupérese del incidente. Elimine y reemplace las instancias infectadas del sistema central, y borre y restaure los puntos finales afectados con datos de respaldo limpios. A continuación, escanee los datos restaurados para confirmar que el malware haya desaparecido. Finalmente, cambie todas las contraseñas del sistema, la red y las cuentas.
• Contacte a las partes interesadas. Comunique los detalles del incidente a las partes interesadas apropiadas, según lo dicte el plan de respuesta al incidente. Estos podrían incluir partes interesadas internas, como empleados y líderes ejecutivos, y partes interesadas externas, como clientes, socios externos y autoridades policiales.
• Realice actividades posteriores al incidente. Divulgue los ataques a las organizaciones gubernamentales y clientes según sea necesario, de acuerdo con las regulaciones de cumplimiento y las políticas de la empresa. Confirme que todos los sistemas, datos y aplicaciones sean accesibles y operativos, sin vulnerabilidades pendientes que puedan permitir que los atacantes regresen al entorno.
• Realice un análisis y aprenda del ataque. Una vez que se haya asentado el polvo y la organización vuelva a funcionar con normalidad, analice cuidadosamente los detalles del ataque e identifique cualquier brecha de seguridad que la organización deba abordar para evitar episodios futuros. Revise los esfuerzos de respuesta a incidentes, identifique las lecciones aprendidas y actualice el plan de respuesta a incidentes en consecuencia.

Asegúrese de que el análisis post mortem no implique señalar con el dedo o asignar culpas. Más bien, resalte la oportunidad de aprender de cualquier paso en falso y fortalecer los futuros esfuerzos de prevención y respuesta al ransomware.