La palabra Ransomware es la combinación de las palabras Ransom que en inglés significa “Rescate” y Ware que proviene de la palabra software, por lo que hablar de rescate por un secuestro de software nos da una idea del propósito de este tipo de ataques.
En forma muy resumida un ataque de tipo Ransomware está divido en tres grandes fases: la de infiltración, la de cifrado y la de extorsión.
Un ataque Ransomware es una de las modalidades de ataques cibernéticos de mayor impacto para las organizaciones, esto es debido a que al hacerse efectivos los ataques, logran cifrar los archivos de la organización como: documentos, imágenes, videos, etc. Dejándolos inutilizables para todas las personas de la organización atacada; causando la detención de la operación normal del negocio, lo que en automático puede implicar pérdidas económicas, daños en la imagen y reputación, y en los peores casos el cierre definitivo de la misma.
Infiltración
Para que se lleve a cabo un ataque de tipo Ransomware el primer paso es infiltrarse dentro de los sistemas informáticos de la organización, esto puede realizarse mediante ingeniería social, explotación de vulnerabilidades, instalación directa, entre otros.
“Una infiltración es un acceso no autorizado a un sistema, aplicación o datos, en donde un usuario no autorizado logra este acceso con la intención de causar algún daño”
Jose Amado, Cybersecurity Outsourcing Director de SISAP
La Ingeniería Social es un conjunto de técnicas de engaño y manipulación, dirigida a los usuarios, con el objetivo de conseguir que revelen información personal o permitir al atacante tomar control de los dispositivos. La ingeniería social se puede valer entre otras técnicas de: uso de redes sociales, herramientas de mensajería, falsas promociones, correos electrónicos, etc.
Adicional al uso de la ingeniería social para engañar y manipular a los integrantes de la organización atacada, también existen otras rutas que los cibercriminales utilizan para infiltrarse en los sistemas, entre ellos tenemos:
- Uso de escritorio remoto, al cual logran acceder en muchos casos debido a lotes de credenciales que son robadas en otros ataques cibernéticos.
- Instalación de aplicaciones web, especialmente cuando provienen de fuentes no oficiales o cuando se instalan versiones “piratas”.
- Instalación directa del malware debido a que “el enemigo está en casa” es decir, un colaborador de la organización atacada ha sido extorsionado, sobornado o simplemente es parte de la organización criminal que está realizando el ataque.
De acuerdo con el Data Breach Investigations Report (DBIR) de Verizon 2022, en el último año el 82% de las brechas de seguridad involucraron el factor humano, entre ingeniería social, errores de configuración, descuidos y la mala intención, han colocado a las personas como las principales debilidades para la seguridad informática.
Cifrado
El cifrado es un mecanismo el cual somete un texto o un archivo a un proceso de codificación, el resultado es un archivo ilegible y solamente accesible por el autor del cifrado quien posee la llave para descifrar.
“El cifrado fue diseñado para proteger la información y ahora utilizado por los ciberdelincuentes en ataques de ransomware.”
Jose Amado, Cybersecurity Outsourcing Director de SISAP
Ejemplo de un texto cifrado.
Ejemplo de un block de notas cifrado
Al cifrar los documentos los cibercriminales colocan una clave que permitirá a la organización “descifrarlos”, sí y solo sí, se accede a realizar un rescate por ellos.
En el momento en que los sistemas y bases de datos quedan cifrados, los ciberdelincuentes se encargan de hacerle saber a sus víctimas que han sido atacados; generalmente se identifican con el nombre de la organización criminal a la que pertenecen y abren un canal de comunicación entre los atacantes y la organización atacada.
Es importante mencionar que los ciberdelincuentes, adicional de cifrar los datos de la organización, examinarán vulnerabilidades en los sistemas de esta, con el fin de extraer la información cifrada; recordemos que la información es poder y los criminales lo tienen muy claro, así que no dudarán en llevarse una copia para sacarle mayor provecho.
Extorsión
Debido a que el fin principal de los ataques Ransomware es obtener un beneficio, una vez logrado el objetivo de cifrar los sistemas y bases de datos de la organización, empezará la fase de extorsión en donde exigirán dinero a cambio de la llave para descifrar los datos. El dinero exigido en la mayoría de los casos será en criptomonedas debido a lo complicado que se vuelve para las autoridades el rastreo de este.
Si los atacantes lograron extraer la información de la organización, tendrán otra oportunidad para extorsionar amenazando a la organización atacada con hacer pública la información secuestrada, a esta modalidad se le conoce como “doble extorsión”.
“La doble extorsión es una modalidad del Ransomware donde la información valiosa también fue exfiltrada, los datos fueron cifrados y extraídos, cuando el atacante logra esta combinación exitosa, podrá extorsionar a la víctima para no publicar su información y también para devolverle el acceso a la misma”
Jose Amado, Cybersecurity Outsourcing Director de SISAP
Al igual que la gran mayoría de los ataques cibernéticos, el Ransomware tienen un fin económico para los atacantes, esta modalidad incluso ha sido tan lucrativa para los cibercrimanales que, incluso han llegado a crear opciones para criminales no expertos conocidos como “Ransomware as a service” es un servicio que permite a una persona sin conocimiento técnico poder contratar el servicio y dirigirlo a su víctima que puede ser una persona individual o una empresa con la que el contratante del servicio tiene algún descontento.
Ojo al dato
Más de la mitad de los ataques se atribuyen a 5 grupos principales en los últimos 2 años.
3 de estos grupos continúan activos: Conti, LockBit y Pysa, y son responsables de dos terceras partes del total de ataques en la actualidad.
Fuente: Abnormal The Evolution of Ransomware: Victims, Threat Actors, and What to Expect in 2022
Se han identificado 62 distintos grupos de Ransomware desde el 2,020. Muchos de ellos se han “rebrandeado” es decir han cambiado de nombres o se han formado debido a la desintegración de grupos más grandes.
Fuente: Abnormal The Evolution of Ransomware: Victims, Threat Actors, and What to Expect in 2022
Históricamente la banca, tecnología y salud eran las industrias más afectadas, en los últimos años los ataques se han diversificado, en gran parte debido a que han proliferado cada vez más grupos cibercriminales y porque estas industrias que históricamente eran las más atacadas se han preparado y reforzado su ciberseguridad.
“Las organizaciones criminales tienen como objetivo clientes de todos los tamaños, con ataques hechos a la medida, las pequeñas y medianas empresas han resultado ser víctimas más fáciles por su débil protección ante un ataque cibernético, volviéndose un objetivo más atractivo para los ciber delincuentes.”
Jose Amado, Cybersecurity Outsourcing Director de SISAP
Incluso dependiendo del grupo criminal, existen variaciones en su tipo de víctimas, tal y como lo muestra la siguiente gráfica de las víctimas de los grupos criminales Pysa y Everest.
Cómo reducir el riesgo
El CERT de SISAP insta encarecidamente a las instituciones y empresas privadas a reforzar los controles de seguridad y seguir las recomendaciones brindadas a continuación:
- Validar que los procesos de concientización de usuarios se estén llevando a cabo de manera adecuada para que éstos no sean víctimas de un ataque de phishing.
- Utilice la autenticación multifactor.
- Implemente la segmentación de la red y filtre el tráfico.
- Analice en busca de vulnerabilidades y mantenga el software actualizado.
- Elimine aplicaciones innecesarias y aplique controles.
- Disponga de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malware por correo electrónico.
- Deshabilite los servicios de escritorio remoto (RDP), si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
- Mantenga una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá restaurar las operaciones y evitar el pago del rescate.
- Actualice los equipos con las versiónes más recientes de sistemas operativos: Windows, Linux, Mac Os.