Ransomware cada vez más complicado

2017 ha sido un año increíble en términos de ciberseguridad. Los usuarios presenciaron amenazas de ransomware como WannaCry y NotPetya. Estas amenazas hicieron temblar el mundo digital, ya que nadie esperaba que un ataque de ransomware fuera tan escandaloso. Desde entonces, las cosas solo han empeorado y estas amenazas no tienen fin. De hecho, ha habido un cambio hacia amenazas más serias como el cryptojacking y el malware de cifrado de archivos. Con cada día que pasa, estas amenazas se vuelven rampantes.

Esto significa que los ataques de malware no se detendrán pronto. El juego del gato y el ratón entre los atacantes cibernéticos y los expertos en seguridad vivirá por mucho tiempo y posiblemente para siempre.

Principales amenazas observadas en 2017

No creas que WannaCry y NotPetya fueron los únicos ataques que cambiaron la situación. También hubo otras amenazas que empeoraron las cosas el año pasado, tanto para las pequeñas como para las grandes empresas.

Poco después de estas amenazas, se produjo un tercer brote de ransomware conocido como Bad Rabbit. Aunque no fue tan grande, afectó a una parte importante de Rusia y Europa del Este.

Además, hubo otros ataques de malware que se extendieron por todas partes, como el ransomware Locky que desconfiaba de las redes hospitalarias, el ransomware Cerber y algunos otros. Puede que no lo crea, ya que estas amenazas no llegaron a los titulares de las noticias, pero afectaron a gran parte del mundo.

Pero con el tiempo, las amenazas de ransomware comenzaron a desvanecerse, se notó una caída repentina en el ataque de ransomware que hizo creer a la gente que los ataques de ransomware están muriendo. Pero esto era un mito, ya que el malware de minería de criptomonedas, también conocido como cryptojacking, los estaba reemplazando.

¿Qué es el criptojacking?

El malware de criptominería, conocido popularmente como cryptojacking, es un término nuevo, pero ha dejado su huella en el mundo de las amenazas en línea. Significa programas de software y malware diseñados para apoderarse de los recursos de la computadora para extraer criptomonedas sin el permiso del usuario.

Lo que hacen los atacantes es infectar la máquina con un malware que utiliza en secreto la potencia de procesamiento de la CPU para extraer criptomonedas, este método se utiliza para extraer criptomonedas Monero.

A diferencia del ransomware, el cryptojacking no impide que el usuario acceda al sistema. De hecho, ralentiza la velocidad del sistema ya que el atacante utiliza la potencia de la CPU para extraer criptomonedas. El malware funciona de forma sigilosa en la máquina y proporciona un flujo constante de ingresos al atacante. Esto hace que el cryptojacking sea más popular que el ransomware. Ya que tanto la víctima como el atacante pueden hacer su trabajo sin interferir en el trabajo del otro.

Entonces, ¿significa esto que ya no tenemos que preocuparnos por el ransomware? Talvez no.

Lea también: SamSam Ransomware: un malware esquivo

El ransomware sigue siendo una amenaza y sigue vivo .

La evidencia de lo que se vio en el reciente ataque de marzo en la ciudad de Atlanta. SamSam, la familia de ransomware que ha estado operativa desde 2015, estuvo detrás del ataque y se utilizó para cifrar datos, por lo que una cantidad considerable de servicios en línea tuvieron que cerrar.

Una nota de rescate de SamSam en un sistema infectado.

El ataque tuvo un éxito notable ya que las víctimas pagaron para poner en funcionamiento su sistema. Todo esto fue posible ya que el ransomware sigue siendo una amenaza y se requiere un nivel de experiencia para lidiar con él.

Hasta que el ransomware de datos siga siendo una amenaza para las empresas.

Otra variación de ransomware que fue un éxito fue GandCrab. El malware apareció por primera vez en enero y ofrece un modelo de afiliado. Desde entonces, se actualiza a diario, los errores se corrigen y corrigen. Esto dice que los atacantes todavía se toman en serio el ransomware y se esfuerzan mucho para que sea un éxito.

Nota de rescate de GandCrab

Además, estos dos hay otro ransomware al acecho llamado DataKeeper. Es el chico nuevo de la cuadra pero es muy peligroso. DataKeeper apareció en febrero de 2018 y desde entonces está dando problemas. Los atacantes detrás de esta amenaza son muy serios y vigilan de cerca cada registro de seguridad publicado para corregir cualquier ransomware. Tan pronto como descubren que un parche puede detectar su ransomware, corrigen la vulnerabilidad y la fortalecen.

Siguen cambiando y actualizando el código.

Efectos nocivos del ataque de ransomware

Los ataques de ransomware no tienen fin, siempre serán una amenaza. Pero con el tiempo, su efectividad está disminuyendo, no están en la misma escala que los ataques de ransomware anteriores, todo esto se debe a la popularidad de los ataques de cryptojacking.

Pero, ignorar cualquier amenaza está mal, el día que comenzamos a hacerlo nunca sabemos qué daño pueden causar estas amenazas a nuestros datos. El ataque de ransomware puede haberse vuelto inactivo, pero tiene efectos dañinos graves. Están volando bajo el radar, para que puedan atacar cuando sea el momento adecuado. Incluso si causan daños a corto plazo, significa que su sitio o empresa deja de funcionar cuando el ransomware cifra los archivos. Todo esto conduce a la pérdida de la confianza del cliente y los usuarios comienzan a creer que la empresa ya no puede proteger sus datos.

A diferencia del criptojacking que requiere paciencia para liberar un pago, el ransomware ofrece grandes días de pago a los ciberdelincuentes sin esperarlo.

Conclusión

Los ataques de ransomware se propagan rápidamente como fuego en el bosque: una sola vulnerabilidad detectada puede causar estragos. La vulnerabilidad SMB de EternalBlue que permitió que NotPetya y WannaCry se propagaran por la red no se puede pasar por alto porque nunca se sabe cuándo una susceptibilidad como esta puede causar daños.

Las organizaciones necesitan parchear su red tan pronto como se enteran de una vulnerabilidad. En el caso de WannaCry y NotPetya, la mayoría de las organizaciones ya conocían la vulnerabilidad de la NSA, pero la pasaron por alto, por lo que tuvieron que soportar grandes pérdidas.

Debe leer: Dharma Ransomware: Otro ransomware regresa del olvido

Los ciberdelincuentes son muy inteligentes, no pierden ninguna oportunidad, siempre mantienen los ojos abiertos y, tan pronto como pueden detectar una vulnerabilidad, comienzan a atacar a las víctimas. Porque el ransomware les paga una gran cantidad en un corto período de tiempo. Y esta es la razón por la que los ciberdelincuentes seguirán implementando ransomware.

Si incluso por un segundo pensó que el ransomware está fuera de foco, entonces está equivocado. El malware ransomware estuvo allí y siempre lo estará. Es solo que con el tiempo, la forma en que funciona puede diferir, pero el objetivo detrás de esto nunca cambiará. Los ciberdelincuentes saben que el ransomware es la forma más fácil de ganar millones y no dejarán piedra sin remover para ganar dinero.