¿Qué es ransomware?

Una terminología que hemos estado escuchando y leyendo mucho, particularmente en los últimos dos años nos hemos encontrado con esta jerga, principalmente en un contexto negativo donde alguna organización fue víctima de un ataque de ransomware, y así sucesivamente.

El ransomware es un tipo de software malicioso, también conocido como malware (otra jerga que se usa con bastante frecuencia) que es una amenaza potencial para restringir datos o publicarlos en un foro público, lo que genera un riesgo comercial potencial. Esto generalmente se hace cifrando los datos por lo que la víctima tiene que pagar un rescate al atacante por liberar los datos. Por lo general, en tales casos, existe una fecha límite para que la víctima pague el rescate. En caso de que la víctima no cumpla con la fecha límite, el atacante borrará los datos. En el mejor de los casos, el atacante aumentará el valor del rescate con una fecha límite revisada.

Los ataques de malware son bastante comunes en estos días y hemos visto que muchas organizaciones de América del Norte y Europa son víctimas de tales ataques. Estos atacantes cibernéticos no tienen ningún criterio establecido, ya que pueden atacar a cualquier conjunto de clientes o cualquier organización en todos los sectores verticales de la industria.

Muchas agencias como el FBI y algunos gobiernos se abstienen de pagar tales rescates. De hecho, existe un proyecto especial llamado No Ransom Project, una organización sin ánimo de lucro que trabaja con el objetivo de no dar rescate a los ciberatacantes. Además, se observa que aquellas víctimas que pagan el rescate son objeto de repetidos ataques de ransomware.

Antecedentes de los ataques de ransomware

Si observamos la historia de los ataques de ransomware, se remonta a 1989, cuando los atacantes cibernéticos utilizaron el 'Virus del SIDA' para extorsionar a las víctimas. Una vez que se liberaron los pagos por este ataque (por correo) a Panamá, la clave de descifrado también se envió por correo.

En el año 1996, dos personas, Moti Yung y Adam Young, de la Universidad de Columbia, introdujeron una definición de ransomware y acuñaron el término "extorsión criptoviral". Estos dos académicos presentaron el primer ataque de cripto virología en el año 1996 en una conferencia de IEEE, que era una conferencia de seguridad y privacidad.

Durante un período de tiempo, hemos visto innovaciones en el espacio de los ciberataques y los ataques de ransomware. Los atacantes cibernéticos se han vuelto creativos al pedir pagos de rescate que son prácticamente imposibles de rastrear. De esta forma estos ciberdelincuentes mantienen el anonimato de su paradero. Como vimos un aumento en el uso de criptomonedas como Bitcoin, vimos un aumento considerable en los ataques de ransomware.

Si observamos el patrón, los ataques de ransomware han convertido a todas las industrias en víctimas, siendo el ataque más famoso el del Presbyterian Memorial Hospital. Fue un ataque masivo donde fueron víctimas laboratorios, farmacias y salas de emergencia.

¿Cómo funciona un ransomware?

Como se mencionó anteriormente, el ransomware es un tipo de malware que se crea para extorsionar a las organizaciones mediante el cifrado de sus datos y el bloqueo del acceso a ellos. Vemos principalmente dos tipos de ransomware: un conjunto se conoce como encriptadores y el otro conjunto se conoce como bloqueadores de pantalla. Como el nombre se explica por sí mismo, los encriptadores cifran los datos, haciéndolos redundantes sin una clave de descifrado. Sin embargo, los bloqueadores de pantalla simplemente bloquean el acceso al sistema mediante la implementación de una "pantalla de bloqueo".

En este escenario, por lo general, las víctimas ven una pantalla de bloqueo que tiene un mensaje para comprar criptomonedas como Bitcoin para pagar el rescate. Tan pronto como se paga el rescate, las organizaciones reciben la clave de descifrado y luego pueden intentar descifrar los archivos. Sin embargo, no existe una regla o ética que sigan estos atacantes cibernéticos. A veces, incluso después de pagar el rescate, las víctimas no reciben las claves de descifrado. En el peor de los casos, el malware sigue instalado incluso después de pagar el rescate.

Por lo general, estos ataques de malware empresarial comienzan con un correo electrónico sospechoso que. Un usuario puede abrir ese correo electrónico sin sospechar nada y eso solo abre una lata de gusanos.

¿Quién está en riesgo?

Cuando hablamos de ransomware, cualquier gadget o dispositivo que esté conectado a Internet es un riesgo potencial de ser víctima de un ataque de malware. El ransomware generalmente verifica un dispositivo local y cualquier dispositivo que esté conectado a la red, lo que significa que la red local de una organización también corre el riesgo de convertirse en víctima.

Por lo tanto, si un dispositivo está conectado a Internet, se convierte en un requisito previo para que la organización garantice las últimas actualizaciones de seguridad y los sistemas de seguridad de punto final para evitar cualquier tipo de entrada maliciosa por parte de estos ciberatacantes.

¿Impacto del ransomware en los negocios?

Es una declaración no escrita de que cualquier empresa que sea víctima de ransomware tendrá pérdidas que pueden ascender a millones de dólares. Más allá de eso, crea un efecto dominó de pérdida de nuevos negocios. Incluso si se salva una empresa, los empleados tienen que dedicar muchas horas a recopilar los datos que perdieron, lo que provoca miles de horas de pérdida de productividad. Una de las primeras cosas que hace cualquier ataque de malware es detener la productividad de la organización. Por lo tanto, es pertinente que las organizaciones realicen la contención como primera tarea. La realización de un análisis de causa raíz ayuda a identificar la vulnerabilidad, pero si provoca retrasos, tendrá un impacto grave en la productividad y los ingresos.

Ejemplos de ransomware

Si bien los ejemplos de ransomware son abundantes para que cada entidad comercial los consulte, hay algunos cruciales que se destacan, que pueden ayudar a establecer la base para que cualquier organización evite tales ataques de ransomware. Veamos algunos de los ejemplos.

WannaCry : era un virus poderoso en torno a una vulnerabilidad de Microsoft que estos atacantes cibernéticos aprovecharon para infectar más de 250,000 sistemas. Sin embargo, antes de que pudiera extenderse a más sistemas, se activó un interruptor de apagado para detenerlo. Proofpoint, un nombre en el espacio de seguridad y privacidad, se implementó para obtener detalles del ransomware.

BadRabbit : se consideró que era un ransomware visible, cuyo objetivo principal eran las empresas de medios en la región de Rusia y Ucrania. Tan pronto como se pagó el rescate, BadRabbit proporcionó el código de descifrado. Se sospecha que el virus se propagó a través de un Flash Player falso.

NotPetya : se dice que es el hermano mayor de BadRabbit, NotPetya fue uno de los ataques de malware más devastadores. Aprovechó la vulnerabilidad como WannaCry y comenzó a propagarse rápidamente. Exigió un rescate en bitcoins, sin embargo, NotPetya no pudo deshacer los cambios en el registro de arranque maestro, lo que significaba que el sistema de destino se volvió irrecuperable.

Estos son algunos de los principales ejemplos de malware. Ha habido otros como CryptoLocker, REvil, Ryuk y muchos más.

Pensamientos finales

El ransomware no va a desaparecer. Mientras haya personas con malas intenciones, veremos constantemente innovación en esta área. Esto es evidente a partir de una estadística del FBI, que establece que cada día ocurren alrededor de 4000 ataques de ransomware. Aunque el ransomware y el virus son tipos diferentes de malware, el ransomware esencialmente no es un virus, porque no se replica como un virus.

La única forma en que las organizaciones pueden mantenerse protegidas contra tales ataques de ransomware es seguir innovando en sus sistemas de seguridad y también educar a los usuarios sobre posibles amenazas de ransomware, incluidos correos electrónicos maliciosos y otras fuentes.