Conceptos básicos de ransomware
¿Qué es el ransomware?
El ransomware o malware de rescate bloquea a los usuarios de su dispositivo o de ciertos archivos que solo se pueden desencriptar a cambio de un rescate. En la década de 1980, cuando los ataques de ransomware apenas comenzaban a aparecer, los ciberdelincuentes aceptaban pagos por correo. Sin embargo, hoy en día los pagos se realizan a través de criptomonedas como Bitcoin. En los primeros días del ransomware, los ciberdelincuentes atacaban principalmente a individuos, pero gradualmente fueron cambiando a pequeñas y grandes empresas que podrían pagar más. Ahora, con el crecimiento del ransomware como servicio (RaaS), ya ni siquiera es necesario tener un talento tecnológico especial para convertirse en un atacante de ransomware.
Para organizar un ataque de ransomware, los ciberdelincuentes primero deben poder obtener el control de sus archivos o red. Esto se puede hacer a través de tácticas de ingeniería social y phishing en las que un ciberdelincuente se haría pasar por alguien en una posición de autoridad o una organización de confianza para que usted revele información confidencial vital que le otorgará acceso a su red o a la de su organización. Las bandas de ransomware también pueden explotar las debilidades existentes del sistema y obtener acceso de esta manera. Una vez que han encontrado una manera de entrar, pueden moverse por toda su red sin ser detectados, por lo que es esencial que encripte sus datos y guarde una copia de seguridad fuera de su red.
Tipos de ransomware
Los ciberdelincuentes utilizan tres tipos de ransomware para la mayoría de los ataques: scareware, screen lockers y cifrado de datos. Cada tipo es más peligroso que el anterior, por lo que hemos proporcionado una breve descripción de cada uno junto con los signos reveladores asociados.
Scareware utiliza software de seguridad y estafas de soporte técnico. Las víctimas generalmente recibirán mensajes emergentes donde se les dice que su dispositivo ha sido infectado con malware, y que es un problema que se les puede arreglar a cambio de un pago. Este ataque de ransomware es en su mayoría inofensivo, si está dispuesto a soportar múltiples ventanas emergentes, sus datos están seguros. Para este ataque, los ciberdelincuentes dependen del miedo que usted le tenga al malware, por lo que pagará el rescate sin verificar si su dispositivo ha sido infectado o no.
Las bandas de ransomware a veces pueden hacerse pasar por el software de ciberseguridad que usted adquirió en un intento de engañarlo para que pague el rescate. Sin embargo, tenga en cuenta que un proveedor legítimo de software de ciberseguridad nunca exigirá una tarifa a cambio de un servicio. Usted ya está pagando por el servicio para proteger su dispositivo, por lo que si su dispositivo ESTÁ infectado, es su trabajo solucionarlo en función de la tarifa que pagó inicialmente para configurar el software.
Si aún no utiliza un software de ciberseguridad, estas ventanas emergentes son una clara indicación de una estafa. Un software de ciberseguridad que no haya comprado no va a monitorear su red, nunca le enviará un mensaje explicando que se ha detectado una amenaza, y nunca exigirá un pago para solucionar esa amenaza además de la compra inicial del software.
La pantalla de bloqueo se utiliza para bloquear su acceso a su dispositivo o denegar el acceso a ciertos programas o archivos. Cuando un ciberdelincuente obtiene acceso a su dispositivo o red, ya no le permitirá acceder a él, a menudo utilizando un mensaje de pantalla completa que imita al FBI o un sello de aspecto oficial que afirma que debido a una actividad ilegal, su dispositivo ha sido congelado y, a cambio de un pago, se puede desbloquear.
Algo a tener en cuenta si recibe este tipo de mensajes es que el FBI u otros organismos jurisdiccionales jamás van a dejarlo sin acceso a su propio dispositivo ni exigirán ningún pago. Emprenderán acciones legales formales en caso de que se encuentre contenido ilegal en su dispositivo o red.
El cifrado es el tipo de ransomware del que probablemente ya haya oído hablar, porque es el más efectivo y promete el mayor pago si tiene éxito. Implica encriptar archivos y exigir un pago a cambio de la clave de desencriptado. El problema es que, una vez que un ciberdelincuente obtiene acceso a sus archivos, no hay ningún modo de actuar que garantice su regreso o que los ciberdelincuentes cooperen con usted. Incluso si paga un rescate, los delincuentes no están obligados a devolverle sus datos.
Para obtener más información sobre cómo funciona el cifrado, consulte nuestra entrada de blog sobre cifrado de datos y ransomware.
Panorama de amenazas cibernéticas de ransomware para empresas
La amenaza para las organizaciones crece más a medida que los grupos de ransomware se vuelven más organizados y metódicos en sus ataques. Con una mayor disponibilidad de RaaS, son más los ciberdelincuentes que pueden llevar a cabo ataques sofisticados. Los autores de RaaS pueden reclutar bandas de ransomware para implementar los ataques, creando dos grupos distintos de ciberdelincuentes de ransomware, los que lo crean y los que lo implementan.
Las pymes son atacadas específicamente porque pueden carecer de un equipo de seguridad robusto o de los fondos para protegerlas de un ataque. Pero no son solo las pymes las que deben preocuparse por los ataques de ransomware: los grupos de ransomware se dirigen a organizaciones que creen que pueden andar un poco desprotegidas o cuyas medidas de seguridad están menos desarrolladas, lo que también incluye a grandes organizaciones y empresas. Solo tenemos que mirar hacia atrás en algunos de los ataques de ransomware más perjudiciales de este año para ver que a las bandas de ransomware no les preocupa tanto el tamaño del negocio como el posible pago y la falta de medidas de seguridad.
Es posible que los grupos de ransomware ni siquiera se dirijan directamente a su organización, sino que ataquen a uno de sus proveedores o subcontratistas. En julio de este año, el desarrollador de soluciones de TI, Kaseya, fue blanco entre muchas otras organizaciones de un ataque de ransomware realizado por REvil. Si bien el CEO informa que "menos del 0.1% de los clientes de la compañía se vieron [afectados] en la violación", se estima que entre 800 y 1500 pymes pueden haberse visto afectadas como resultado de su afiliación con Kaseya.
Cronología de ataques de ransomware 2021
El 2021 fue un año récord para los ataques de ransomware, y algunos grupos de ransomware fueron más prolíficos que otros. Creamos un cronograma donde vemos los ataques más importantes, así como los grupos de ransomware responsables de cometerlos.
¿Qué pueden hacer las empresas para prevenir los ataques de ransomware?
Simulaciones de phishing Una de las principales formas en que las bandas de ransomware obtienen acceso a su red y archivos confidenciales es a través de los ataques de phishing. Nuestra investigación muestra que, si bien las personas a menudo saben lo que es un ataque de phishing, en la práctica se les complica identificarlo. Las simulaciones de phishing que se asemejan a phishes reales que su organización ha experimentado entrenan a los equipos para que reconozcan e informen sobre estas amenazas antes de que se conviertan en un problema real.
Encripte sus datos como vimos en nuestra última entrada de blog, si sus datos ya han sido encriptados, los ciberdelincuentes no podrán robarlos. Si bien pueden encriptarlos utilizando su propio algoritmo, su información confidencial está a salvo de sus miradas indiscretas.
Guarde una copia de seguridad incluso si ha seguido los dos primeros pasos, las bandas de ransomware pueden encriptar sus archivos y bloquearle el acceso a su propia información confidencial. Mantener una copia de seguridad es una excelente manera de seguir teniendo acceso a estos archivos en caso de un ataque de ransomware. Una copia de seguridad que se almacena en una red separada de la utilizada por su organización es un paso aún más seguro para mantener su información segura y accesible.
¿Le pareció útil esta entrada de blog? No deje de compartirla con sus equipos y compañeros para fomentar una cultura de ciberseguridad positiva y bien informada.