El mundo de la ciberseguridad evoluciona constantemente hacia nuevas formas de amenazas y vulnerabilidades. Pero el ransomware demuestra ser un animal diferente: el más destructivo, persistente, notoriamente difícil de prevenir y no muestra signos de desaceleración.
Ser víctima de un ataque de ransomware puede causar una pérdida significativa de datos, violación de datos, tiempo de inactividad operativo, recuperación costosa, consecuencias legales y daños a la reputación.
En esta historia, hemos cubierto todo lo que necesita saber sobre el ransomware y cómo funciona.
¿Qué es el ransomware?
El ransomware es un programa malicioso que obtiene el control del dispositivo infectado, cifra los archivos y bloquea el acceso del usuario a los datos o al sistema hasta que se paga una suma de dinero o un rescate.
El plan de Crooks incluye una nota de rescate, con la cantidad e instrucciones sobre cómo pagar un rescate a cambio de la clave de descifrado, o una comunicación directa con la víctima.
Si bien el ransomware afecta a empresas e instituciones de todos los tamaños y tipos, los atacantes a menudo se dirigen a los sectores de salud, educación, TI, gobierno y finanzas con bolsillos más profundos, causando daños que van desde cientos de millones hasta miles de millones de dólares.
Los ataques de ransomware comenzaron a repuntar en 2012 y, desde entonces, se han convertido en los ciberataques más generalizados en todo el mundo.
Por ejemplo, el ransomware HelloKitty golpeó al desarrollador de videojuegos polaco CD Projekt Red la semana pasada con una táctica bastante popular, es decir, los atacantes amenazaron a la compañía con filtrar el código fuente de los juegos, incluidos Cyberpunk 2077, Witcher 3, Gwent y junto con archivos confidenciales en la empresa.
¡Y realmente sucedió! Después de que CD Projekt anunciara que no pagarían el rescate, los atacantes crearon una subasta por los datos robados en un foro de piratas informáticos.
Y no es el único ejemplo. El ransomware siempre ha sido uno de los tipos más populares de muestras maliciosas que se cargan en el sandbox de análisis de malware ANY.RUN . Más de 124,00 sesiones interactivas con ransomware se analizaron en línea solo en 2020.
De un casillero a la empresa
Una de las formas de protegerse de los ataques es la conciencia. Creemos que es imprescindible que los ejecutivos y empleados de las empresas comprendan este tipo de amenaza.
En este artículo, veremos el historial del ransomware:
El primer ransomware
El primer ataque de ransomware conocido fue llevado a cabo en 1989 por un investigador del sida, Joseph Popp, que distribuyó 20.000 disquetes maliciosos a investigadores del sida en más de 90 países, afirmando que los discos contenían un programa de encuestas. Desde entonces, la amenaza del ransomware ha evolucionado mucho y adquirió más funciones.
Locker ransomware
En 2007, apareció el ransomware Locker, una nueva categoría de malware ransomware que no cifra archivos; en cambio, bloquea a la víctima fuera de su dispositivo, evitando que lo use.
Similar a esto, WinLock exigió un rescate de $ 10 por el código de desbloqueo. Más tarde, Citadel, Lyposit y Reveton controlaron una pantalla con un buen mensaje de una agencia de aplicación de la ley falsa.
Por lo general, esto toma la forma de bloquear la interfaz de usuario de la computadora o del dispositivo y luego pedirle al usuario que pague una tarifa para restaurar el acceso a ella.
Scareware
En años posteriores, los atacantes cambiaron su estrategia para capitalizar el miedo difundiendo aplicaciones falsas y programas antivirus (AV). El ataque involucra un mensaje emergente que se muestra a las víctimas diciendo que sus computadoras han sido infectadas con virus. Atrae a las víctimas a un sitio web donde se les pide dinero para pagar el software que soluciona el problema. Todo parecía digno de confianza: logotipos, combinaciones de colores y otros materiales con derechos de autor.
A partir de ese momento, los delincuentes entendieron que era mucho más fácil comprometer varios sitios web, centrarse en el phishing y automatizar todo el proceso.
Ransomware criptográfico
En 2013, CryptoLocker surgió como el primer malware criptográfico que generalmente llega como un archivo adjunto de correo electrónico. La botnet Gameover ZeuS fue responsable de estos ataques. CryptoLocker cifra los archivos, y después de eso, se requirió un pago con bitcoin para desbloquearlos.
Si el rescate no se recibió en 3 días, el rescate se duplicó. CryptorBit, CryptoDefense, CryptoWall, WannaCry ampliaron las variaciones de señuelos e incluso utilizaron debilidades del sistema para infectar computadoras.
El último paso en esa evolución es la llegada de ransomware-as-a-service, que apareció por primera vez en 2015 con el lanzamiento del kit de herramientas Tox. Brindó a los posibles ciberdelincuentes la opción de desarrollar herramientas de ransomware personalizadas con capacidades avanzadas de evasión.
Ransomware empresarial
Los atacantes de ransomware subieron de nivel y pasaron a la etapa empresarial. Preferían tratar con organizaciones grandes y asustarlas ante un posible brote.
Por ejemplo, un objetivo recibió un correo electrónico con una amenaza de ataque distribuido de denegación de servicio (DDoS). Para evitarlo, las víctimas debían pagar un rescate.
Un caso más es el rescate por compromiso de datos. Un delincuente amenaza a un objetivo con explotar al público la información comprometida a menos que se pague un rescate. La siguiente táctica es eficaz a nivel empresarial, ya que las empresas no quieren poner en juego su reputación.
Ahora está claro que el malware seguirá evolucionando. Y tal vez adquiera ataques híbridos, incluidas otras familias de malware.
Ataque en detalles
Como ahora conocemos la historia y los tipos de ransomware, ahora es el momento de comprender cómo funciona.
- Implementación: en el primer paso, los atacantes distribuyen componentes esenciales que se utilizan para infectar, cifrar o bloquear el sistema, descargados sin el conocimiento del usuario, utilizando phishing o después de explotar fallas específicas del sistema.
- Instalación: cuando se descarga la carga útil, el siguiente paso es la infección. El malware suelta un pequeño archivo que a menudo es capaz de evadir la defensa. El ransomware se ejecuta e intenta ganar persistencia en el sistema infectado poniéndose para ejecutar automáticamente las claves de registro, permitiendo que atacantes remotos controlen el sistema.
- Comando y control: el malware luego se conecta al servidor de comando y control (C2) de los atacantes para recibir instrucciones y, principalmente, para depositar la clave de cifrado privada asimétrica fuera del alcance de la víctima.
- Destrucción: una vez que los archivos se cifran, el malware elimina las copias originales en el sistema, y la única forma de restaurarlas es descifrar los archivos codificados.
- Extorsión: aquí vienen las notas de rescate. La víctima llega a saber que sus datos están comprometidos. El rango de pago varía según el tipo de objetivo. Para confundir y asustar a una víctima, los atacantes pueden eliminar varios archivos de la computadora. Sin embargo, si un usuario paga el rescate, no es una garantía de que la información se restaure o de que el ransomware se elimine.
Familias y operadores populares
Varios tipos de malware son famosos en el mundo del ransomware. Echemos un vistazo a ellos y hablemos de los operadores populares que se destacan en la historia del malware:
1) El ransomware GandCrab es uno de los lanzamientos de ransomware más notorios en los últimos años que acumuló casi $ 2 mil millones en pagos de sus víctimas.
Se cree que es producto de un grupo de hackers ruso, GandCrab fue descubierto en 2018 como parte de Ransomware-as-a-Service (RaaS) vendido a otros ciberdelincuentes.
Aunque GandCrab anunció su «retiro» en 2019, algunos investigadores afirman que regresó con una nueva cepa, llamada Sodinokibi, con una base de código similar. Sodinokibi se dirige a los sistemas Microsoft Windows y cifra todos los archivos excepto los de configuración.
2) A continuación, el ransomware Maze , que fue noticia en los últimos dos años, es conocido por divulgar datos robados al público si la víctima no paga para descifrarlos.
Fue el primer ataque de ransomware que combinó el cifrado de datos con el robo de información. Además, amenazaron con hacer públicos los datos si no se pagaba el rescate. Cuando comenzó el COVID-19, Maze anunció que dejarían los hospitales en paz. Pero más tarde, también rompieron esa promesa.
En 2020, Maze anunció que cerró sus operaciones. Pero es más probable que hayan pasado a otro malware.
3) Netwalker utilizó el vaciado de procesos y la ofuscación de código para apuntar a las víctimas corporativas. Pero en enero de 2021, las agencias de aplicación de la ley se unieron contra Netwalker y se apoderaron de los dominios en una web oscura utilizada por actores de malware.
4) Wannacry se propaga de forma autónoma de una computadora a otra utilizando EternalBlue, un exploit supuestamente desarrollado por la NSA y luego robado por piratas informáticos.
Es el tipo de ransomware más cargado en CUALQUIER servicio EJECUTAR en 2020. Llegó al malware superior con 1930 tareas. Puede investigarlos en la biblioteca pública de envíos , busque por la etiqueta «wannacry».
5) El malspam de Avaddon generalmente contiene el único emoticón para atraer a los usuarios a descargar el archivo adjunto. El malware también comprueba la configuración regional del usuario antes de infectar. Si es ruso o cherokee, Avaddon no cifra los sistemas.
6) Babuk es un nuevo malware dirigido a empresas en 2021. Babuk incluye un cifrado seguro que hace que sea imposible restaurar archivos de forma gratuita.
Objetivos de los ataques de ransomware
Hay varias razones por las que los atacantes eligen primero a qué tipo de organizaciones quieren atacar con ransomware:
- Fácil de evadir la defensa. Las universidades, las pequeñas empresas que tienen pequeños equipos de seguridad son un objetivo fácil. El intercambio de archivos y una amplia base de datos facilitan la penetración para los atacantes.
- Posibilidad de pago rápido. Algunas organizaciones se ven obligadas a pagar un rescate rápidamente. Las agencias gubernamentales o las instalaciones médicas a menudo necesitan acceso inmediato a sus datos. Los bufetes de abogados y otras organizaciones con datos confidenciales generalmente quieren mantener un compromiso en secreto.
Y algunos ransomware se propagan automáticamente y cualquiera puede convertirse en su víctima.
El rápido crecimiento del ransomware
La principal razón por la que este tipo de malware ha tenido éxito son los ataques que traen resultados a los ciberdelincuentes. Los mercados permiten a los delincuentes comprar ransomware avanzado para ganar dinero.
Los autores de malware ofrecen varias formas de empaquetar el ransomware. El software malintencionado cifra los sistemas de forma rápida y sigilosa. Tan pronto como se recibe el rescate, no es un desafío cubrir las pistas. Estos puntos conducen a un aumento significativo.
Ahora los delincuentes se quedan calvos y esperan obtener cientos o miles de dólares, ya que las empresas no quieren correr el riesgo de perder datos y cortes.
Métodos de distribución de ransomware
A continuación, se muestran varias formas de propagación del ransomware:
- Correo electrónico (spam)
- Ataque del abrevadero
- Malvertising
- Kits de explotación
- USB y medios extraíbles
- Ransomware como servicio
- Días cero
Análisis de ransomware en ANY.RUN
Investiguemos juntos una muestra de ransomware .
Aquí hay una tarea con el malware Sodinokibi. Gracias a la interactividad ANY.RUN, podemos seguir la ruta del usuario:
En primer lugar, esperamos a que el programa malicioso termine de cifrar el archivo en el disco. La característica distintiva de Sodinokibi es el fondo de escritorio con texto.
Luego abrimos un archivo de texto en el escritorio. Sí, podemos interactuar con archivos y carpetas en la Máquina virtual durante la ejecución de la tarea.
Allí podemos ver instrucciones con la dirección URL. Podemos copiarlo y abrirlo en el navegador. En la nueva página, necesitamos ingresar la clave; cada clave es única para cada máquina infectada.
Hay el nuestro en el archivo de texto para que podamos ingresarlo. Y luego aparece una página con la suma del pago del rescate y una cuenta regresiva. Finalmente, abrimos el archivo con una imagen para el descifrado de prueba y lo abrimos.
Medidas de prevención
2021 comenzó con arrestos de bandas de ransomware. El grupo de hackers Egregor fue derribado por la policía francesa y ucraniana la semana pasada.
Esa es una buena tendencia de que las fuerzas del orden siguen derrotando a los actores del malware. Sin embargo, debemos ser cautelosos e intentar detener los ataques también.
Para protegerse contra el ransomware, las empresas deben tener un plan elaborado contra el malware, incluidos los datos de respaldo. Dado que el ransomware es muy difícil de detectar y combatir, se deben utilizar diferentes mecanismos de protección.
ANY.RUN es uno de ellos que ayuda a identificar el malware temprano y prevenir infecciones. Además de eso, la protección más importante es la formación del personal. Deben evitar enlaces o archivos sospechosos. Los empleados que saben que existe ransomware y cómo funciona pueden detectar tales ataques.
