Ransomware: qué es y cómo funciona

El ransomware es un tipo de malware que luego de comprometer un equipo secuestra la información y exige el pago de un rescate para recuperar los datos y evitar otros daños colaterales.

El ransomware es un tipo de malware que luego de comprometer un equipo secuestra la información y exige el pago de un rescate para recuperar los datos y evitar otros daños colaterales.

El término ransomware hace referencia a un tipo de malware que luego de comprometer un equipo secuestra su información para extorsionar a las víctimas, solicitando el pago de una suma de criptomonedas para recuperar esos datos. La palabra es un acrónimo de las palabras ransom (rescate) y software.

A continuación, te contamos todo lo que necesitas saber sobre esta amenaza informática que en el último tiempo ha tenido un crecimiento importante y que luego de lo que fue el brote de WannaCry allá por 2017, está generando un impacto significativo en la ciberseguridad afectando a pequeñas, medianas y grandes empresas de varias industrias, así como organismos gubernamentales, instituciones educativas y de salud en todo el mundo.

¿Cómo funciona el ransomware?

Existen diferentes tipos de ransomware según las acciones que realizan en el equipo una vez que logran comprometerlo y de acuerdo al método de extorsión del que se valgan:

  • Ransomware de cifrado o criptoransomware: utiliza la criptografía para cifrar los archivos del equipo comprometido impidiendo que el usuario pueda acceder a ellos. Este tipo de ransomware es el más común, el más moderno, y el más efectivo y, aunque pueda removerse del equipo con facilidad, la información que se ha visto comprometida es difícil o -mayormente- imposible de recuperar. Usualmente busca atacar extensiones de archivo que sean de interés para los usuarios, como archivos de ofimática, multimedia, bases de datos, etcétera. También es capaz de cifrar unidades extraíbles y unidades de red mapeadas dentro del computador. El principal síntoma de un equipo comprometido por un criptoransomware es el cambio de extensión en los archivos y la imposibilidad para abrirlos.
  • Ransomware de bloqueo de pantalla o lockscreen: no muy frecuente en la actualidad, aunque siguen siendo populares en arquitecturas como teléfonos y tabletas con Android, el objetivo de este tipo de ransomware es impedir la utilización y el acceso al equipo hasta que se realice el pago del rescate. Los primeros ransomware de propagación masiva formaban parte de esta categoría y utilizaban técnicas sencillas para tomar control de la pantalla del equipo. Esta forma primitiva de ransomware es más fácil de remover y suele tener consecuencias menores para los usuarios.

¿Cómo llega el ransomware a infectar un equipo?

A grandes rasgos, en el mundo del cibercrimen encontramos tanto campañas de malware que buscan distribuir un malware de manera masiva y aleatoria, y también ataques dirigidos que emplean códigos maliciosos para afectar a empresas y organizaciones de todo tipo de industrias.

La forma de distribución más común del ransomware es a través de correos de phishing con archivos adjuntos o enlaces que intentan engañar a los usuarios mediante ingeniería social para convencerlos de descargar la amenaza. Otras formas de distribución son mediante ataques a conexiones remotas, como el Protocolo de Escritorio Remoto (RDP), aprovechando el uso de contraseñas débiles. También a través de la explotación vulnerabilidades —por ejemplo, mediante sitios web comprometidos utilizados para redirigir a sus visitantes a diferentes tipos de exploits—, así como también  dispositivos USB, descarga de software pirata, entre otros.

Como podemos deducir de lo anterior, gran parte de los ataques comienza con el engaño de las personas que hacen uso del sistema, utilizando alguna de las numerosas técnicas que conforman a la Ingeniería Social, y también mediante ataques a conexiones remotas como el RDP. No obstante, los atacantes también pueden procurar hacerse del control remoto del sistema aprovechando vulnerabilidades en equipos desactualizados, mal configurados y/o sin ninguna solución de seguridad instalada.

Al pagar el rescate, ¿se descifran los archivos?

Si bien es posible que se restituya el acceso a los archivos una vez pagado el rescate, es una práctica desalentada ya que no solo se está contribuyendo a la continuación de una actividad delictiva, sino que además nada puede garantizar la recuperación de los archivos e incluso podría motivar futuros intentos de ataque ahora que los criminales conocen que la víctima está dispuesta a pagar. Por estas razones, apelamos a la prevención e inversión en seguridad para reducir al mínimo el riesgo de un ataque.

No uso Windows… ¿Estoy a salvo del ransomware?

No, igual eres vulnerable.

El motivo principal para la generación de malware es el rédito económico. Por ello, los atacantes suelen generar mayor cantidad de códigos maliciosos para las plataformas más utilizadas y con mayor cantidad de potenciales víctimas. No obstante, en los últimos años los ataques de ransomware dejaron de concentrarse en afectar a la mayor cantidad posible de usuarios para centrarse en un menor grupo de víctimas a las cuales demandar mayores sumas de dinero por el rescate de su información. De hecho, en el último tiempo aumentaron considerablemente los montos que solicitan los atacantes a las víctimas. En parte esto se debe a que los ataques son dirigidos a blancos previamente analizados y que, según el criterio de los atacantes, o cuentan con los recursos para hacer frente al pago del rescate o estiman que las consecuencias que un ataque puede tener sobre un blanco en particular provocará una presión suficiente para que se inclinen por la opción de pagar.

Aunque existe una mayor variedad de ransomware para plataformas de Microsoft, también los hay para equipos de Apple, distribuciones de Linux, teléfonos móviles y demás arquitecturas de la Internet de las Cosas (IoT). Por eso es tan importante que los usuarios adopten herramientas de protección y buenas prácticas en el uso de todos sus equipos.

Ransomware: una amenaza en constante evolución

Además del cambio de enfoque que han tenido en los últimos años pasando de los ataques masivos a los ataques dirigidos, con el paso del tiempo los atacantes también fueron añadiendo más características para aumentar la peligrosidad y efectividad de sus creaciones. Un ejemplo de ello es el infame WannaCry que en 2017 paralizó centenas de sistemas a nivel mundial en un ataque sin precedentes y fue definido como el primer “ransomworm”; es decir, un tipo de ransomware con propiedades de gusano capaz de propagarse a sí mismo sin la ayuda del usuario sacando provecho de fallas de seguridad presentes en otros equipos de la misma red. En el caso de WannaCry, aprovechando una vulnerabilidad conocida como EternalBlue que afectaba al servicio de archivos compartidos de Windows.

A fines de ese mismo año, también se identificó otro tipo de ransomware, denominado Wiperware, un tipo de malware que se asemeja a los criptoransomware, pero que además de cifrar la información también intenta cifrar -generalmente con éxito- el registro principal de arranque o MBR (Master Boot Record), dejando inutilizable el sistema operativo.

Hacia fines del 2019 comenzó a observarse una tendencia en los ataques de ransomware que hoy es una realidad: esta nueva modalidad hace uso de una técnica conocida como doxing, que consiste en obtener datos confidenciales de las víctimas y amenazar con hacerlos públicos, a menos que se pague la extorsión. Esto sin duda aumenta la presión sobre los afectados, ya que no solo se trata de recuperar la información cifrada, sino también evitar que los datos robados se hagan públicos. Tal como explica el ESET Quarterly Threat, los operadores detrás del ransomware Maze fueron los primeros en adoptar la práctica de doxing en sus ataques. Si bien sus campañas comenzaron a detectarse desde mayo de 2019, a partir de octubre comenzaron a incluir la filtración de información de la víctima como parte de la amenaza. Poco tiempo después, esta modalidad extorsiva fue adoptada por una gran cantidad de grupos de ransomware que a su vez sumaron otras modalidades extorsivas para aquellas víctimas que no estén interesadas en llegar a un acuerdo, como son las llamadas en frío y los ataques de DDoS.

Por otra parte, la direccionalidad de los ataques llevó a los cibercriminales a evolucionar hacia una mayor sofisticación y planificación. Ahora necesitan estudiar en profundidad a los blancos a los que apuntan, lo que implica en muchos casos un período en el que los atacantes, luego del compromiso inicial, exploran la red con el objetivo de recopilar información de interés y conocer los recursos de la víctima para luego en un momento liberar el ransomware en el sistema. Esto les permite, entre otras cosas, determinar el monto máximo que una víctima podría pagar por el rescate.

Otro aspecto que vale la pena señalar como parte de esta evolución es el Ransomware as a Service (RaaS), un modelo que permite que actores maliciosos sin grandes conocimientos técnicos puedan iniciar una campaña de ransomware al contratar la creación de malware como un servicio o sumarse como afiliados para distribuir la amenaza a cambio de un porcentaje de las ganancias. Este modelo, de gran auge en la actualidad, se descubrió tiempo atrás a través de una herramienta denominada Tox, la cual permitía la creación de este tipo de malware de manera automática, independientemente de los conocimientos técnicos de quien la utiliza.

De la misma manera, el ransomware de código abierto (cuyo primer referente fue llamado Hidden Tear), desencadenó nuevos escenarios para el desarrollo de este tipo de programas maliciosos y sus variantes, donde es posible la rápida creación de malware cada vez más sofisticado y masivo mediante la mejora de código preexistente.

¿Qué hacemos si ya sufrimos esta amenaza?

El curso de acción a seguir tras verse comprometido por ransomware dependerá de las medidas de seguridad que se hayan tomado antes de sufrir el incidente. Si se cuenta con un backup, es posible restaurar la información desde allí. Si el backup está desactualizado, cabe evaluar cuánta información puede restaurarse y, de ser suficiente, evitar el pago. Si no se posee backup o este fue igualmente comprometido, quedará en manos de las víctimas decidir si desean correr el riesgo de efectuar el pago. Como mencionamos anteriormente, esta es una práctica que desaconsejamos.

Si tenemos la habilidad necesaria, podemos extraer la muestra de ransomware del equipo para identificar qué variante especifica es la que ha logrado colarse dentro del sistema, utilizando servicios como VirusTotal para analizar el archivo. También podemos escanear nuestro equipo con una solución de seguridad -si es que no tenemos ninguna ya- para que detecte el código malicioso y nos informe a qué familia de ransomware pertenece. Una vez que tengamos esta información, podemos utilizar motores de búsqueda para ver si existe alguna herramienta que nos permita recuperar los archivos. ¡Cuidado! Muchas páginas prometen herramientas de descifrado de archivos, pero en realidad buscan aprovecharse del pánico de los usuarios para instalar más malware en el equipo. Siempre dirígete a sitios de confianza. Ten en cuenta que, a decir verdad, para la mayor parte del ransomware no existe forma de recuperar los archivos una vez que estos se han visto afectados.

Otro consejo que puedes adoptar si te has convertido en víctima de ransomware es ejecutar algún programa como Recuva o ShadowExplorer, ya que algunas muestras obsoletas de ransomware utilizan un borrado inseguro de archivos que le permite a las víctimas recuperarlos con herramientas para restauración de archivos. Ten en cuenta que estas técnicas de recuperación de archivos ya son bien conocidas por los atacantes, y las nuevas versiones de ransomware se aseguran de que no se puedan recuperar los archivos de esta manera.

De cualquier modo, algo que siempre debe realizarse tras un incidente de seguridad es un análisis de este para determinar por qué ocurrió y corregir la situación a futuro para evitar nuevos ataques. La clave para combatir al ransomware es la prevención.

¿Cómo se protege un usuario hogareño del ransomware?

La forma más sencilla de poder asegurar un equipo sin tener los conocimientos técnicos es mediante la instalación de una solución de seguridad que nos permita bloquear intentos de explotación de vulnerabilidades, ejecución de malware o acceso a sitios peligrosos.

Es importante actualizar todas las apps y sistemas operativos para asegurarnos de instalar los últimos parches de seguridad. Además, tener un backup de la información al día es crucial para poder hacer frente al ransomware.

También se recomienda tener cuidado con los adjuntos en correos electrónicos y demás enlaces que podamos encontrar durante la navegación en Internet. Los sitios fraudulentos intentarán apelar a ganarse la confianza del usuario haciéndose pasar por entidades de renombre, ofreciendo premios y promociones, o atendiendo al miedo en los usuarios. Por ejemplo, campañas de propagación de malware utilizaron la pandemia para difundir troyanos haciéndolos pasar por autoridades sanitarias locales.

Como consejo final, utilizar herramientas de cifrado de archivos sensibles, como fotos, videos y documentos personales, puede ayudar a evadir la presión extra si los atacantes deciden extorsionar a las víctimas con la publicación en línea de los archivos.

¿Cómo pueden las empresas protegerse ante esta amenaza?

El concepto de sistema seguro ha ido cambiando a medida que evoluciona la tecnología y el cibercrimen. En la actualidad sabemos que la seguridad de la información se obtiene como resultado a una combinación de capas de protección cuidadosamente desplegadas. El aislado hecho de instalar una solución de seguridad no será suficiente por sí solo, ya que la superficie de exposición de las empresas y personas ha aumentado de manera drástica.

Las empresas deben diseñar cuidadosamente los mecanismos de seguridad que necesitan implementar. Así, un correcto análisis de riesgo se traducirá en la instalación de soluciones de seguridad para la detección de infecciones (antimalware), la gestión de copias de respaldo, la protección de los procesos de autenticación en las redes empresariales mediante doble factor de autenticación, el despliegue de soluciones de sistemas de prevención, detección y monitorización, el cifrado de los archivos, la realización de inteligencia de amenazas, entre otros. La adecuación de las herramientas necesarias para crear una arquitectura de seguridad en profundidad (es decir, seguridad por capas) serán decisivas en la pronta detección de amenazas.

La adquisición de tecnologías de protección debe verse acompañada de una buena gestión de la seguridad a través de políticas y de educación para los usuarios. Se deben diseñar planes para audiencias específicas, construirlos sobre los resultados esperados y pensarlos para ganar la atención de su público buscando mantener a los distintos actores interesados en actualizarse.

En particular, algunos consejos básicos para protegerse del ransomware son los siguientes:

  • Tener una copia de respaldo actualizada

La herramienta más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. De este modo, si es posible restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde la copia de respaldo los documentos que estaban infectados, estamos previniendo llegar al punto de pagar para solucionar el inconveniente. Además, se debe tener en cuenta que el backup puede verse comprometido si se encuentra conectado al equipo donde comenzó la infección, por lo cual se debe diseñar una buena política de respaldo para evitar esta situación.

  • Instalar una solución de seguridad

Siempre es una buena idea tener un software antimalware y un firewall para identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes de códigos conocidos para evadir la detección, por lo que es importante contar con ambas capas de protección.

  • Utilizar herramientas para el cifrado de archivos

El ransomware mayormente cifra solo archivos con determinadas extensiones, como ser imágenes, videos, bases de datos o documentos de ofimática. Al utilizar una solución de cifrado podríamos lograr que un archivo sobreviva intacto a una infección por ransomware.

  • Capacitar al personal sobre los riesgos

A nivel empresarial, es necesario acompañar la inclusión de tecnologías de defensa con la creación de planes de capacitación para alertar al personal sobre los riesgos que existen en línea y cómo evitarlos.

  • Mostrar las extensiones ocultas por defecto

Con frecuencia, una de las maneras en que se presenta el ransomware es en un archivo con doble extensión (por ejemplo, “.PDF.EXE”), aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Modificando las opciones del sistema para ver las extensiones completas de archivo, será más fácil detectar archivos sospechosos.

  • Analizar los adjuntos de correos electrónicos

Gran parte de las infecciones por ransomware se inician con un adjunto en un correo electrónico. Por ello es importante establecer reglas en el servidor de correos para el análisis de archivos adjuntos y el bloqueo de mensajes que contengan archivos .EXE, .SCR, doble extensión, o cualquier otra extensión referente a un ejecutable.

  • Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData

Es posible deshabilitar este tipo de comportamientos a través de las políticas locales o de red del sistema, o mediante el software de prevención de intrusiones. De este modo evitarás infecciones por muchas variantes de ransomware, y también infecciones de malware en general.

  • Deshabilitar RDP cuando no sea necesario

El ransomware puede acceder a las máquinas mediante el Protocolo de Escritorio Remoto, que les permite a terceros obtener acceso a tu equipo en forma remota. Si no se requiere, puede deshabilitarse para proteger tu máquina del acceso indebido.

  • Actualizar el software de dispositivos de escritorio, móviles y de red

Los cibercriminales con frecuencia se basan en software desactualizado con vulnerabilidades conocidas para usar un exploit e ingresar al sistema. Al gestionar la instalación frecuente de updates de seguridad es posible incrementar las barreras de protección contra cualquier tipo de malware.

  • Crear políticas de seguridad y comunicarlas a los empleados

La gestión a través de la creación de políticas de seguridad y la generación de los canales de comunicación para cerciorarse de que los empleados las conozcan y respeten ahorrará muchos dolores de cabeza evitando infecciones que puedan propagarse con base en el uso de la Ingeniería Social.

Debido a que sabemos que un sistema de protección de la información debe pensarse como un conjunto de capas que se solapan, desde ESET ofrecemos diferentes productos orientados a cada una de estas capas. En particular, hemos desarrollado el Kit Antiransomware el cual consta de una combinación óptima de nuestros productos para hacer frente a este tipo de amenaza en entornos empresariales. El kit incluye nuestra solución integral antimalware, herramientas para la gestión del cifrado y las copias de restauración, más un complejo juego de material educativo que las empresas puedan utilizar para educar a sus usuarios y construir robustos planes de capacitación.

También puedes encontrar más información sobre este malware en nuestra Guía de ransomware y leer las últimas noticias sobre ransomware en WeLiveSecurity.

 

Newsletter

Discusión