La comunidad de investigadores en seguridad ha estado advirtiendo desde hace mucho tiempo que el ransomware tiene el potencial de convertirse en la amenaza informática número uno para las empresas. Sin embargo, dado que las demandas de los rescates eran bajas y que la distribución del malware era bastante menos efectiva hace algunos unos años, muchas organizaciones no prestaron atención a esas predicciones y ahora están pagando grandes rescates.

En este sentido, con los innumerables reportes sobre ataques de ransomware en los medios y cientos de millones de ataques de fuerza bruta diarios —una puerta de entrada común para el ransomware—, permanecer indefenso ya no es una opción. En la reciente actualización que hicimos en nuestro popular whitepaper, Ransomware: A criminal art of malicious code, pressure and manipulation, explicamos qué fue lo que llevó a este preocupante aumento y a esta mayor severidad de los ataques de ransomware, y también qué deben hacer los defensores para mantener a sus organizaciones fuera del alcance de estos ataques.

Empecemos por los números. Entre enero de 2020 y junio de 2021, la protección contra ataques de fuerza bruta de ESET evitó más de 71 mil millones de ataques contra sistemas con el puerto al Protocolo de escritorio remoto (RDP) accesible de manera pública, lo que demuestra la popularidad de ese protocolo entre los ciberdelincuentes como superficie de ataque. Si bien el crecimiento más notable se produjo en la primera mitad de 2020, cuando se decretaron en el mundo las primeras cuarentenas debido a la pandemia, los picos diarios más altos se registraron en la primera mitad de 2021.

Imagen 1. El número de ataques de fuerza bruta ha ido en aumento desde principios de 2020, alcanzando las cifras diarias más altas en el primer semestre de 2021.

La comparación del primer semestre de 2020 con el primer semestre de 2021 muestra un enorme crecimiento del 612% de estos ataques que buscan adivinar las contraseñas y que apuntan al RDP. El número promedio diario de clientes únicos que reportan este tipo de ataques también ha aumentado significativamente, pasando de 80.000 en el primer semestre de 2020 a más de 160.000 (más del 100%) en el primer semestre de 2021.

Imagen 2. Según la telemetría de ESET, la tendencia de detección de ataques de fuerza bruta dirigidos al RDP muestra un crecimiento continuo con varios picos importantes en 2021.

Pero el RDP no es la única forma de distribución que utilizan las bandas de ransomware actualmente. Las campañas de malspam que distribuyen documentos poco fiables, macros maliciosas, hipervínculos dañinos y binarios de botnets no se fueron a ninguna parte y debemos sumarlas a los miles de millones de ataques de fuerza bruta con los que se bombardea a potenciales víctimas.

Además del RDP, el aumento de la actividad del ransomware también ha sido impulsado por el uso de la doble extorsión (o doxing), una técnica que comenzó a implementarse en 2019 por el ahora desaparecido ransomware Maze. Además de cifrar los datos de las víctimas, este infame grupo de ransomware también comenzó a robar la información más valiosa y sensible de las víctimas (en una etapa previa al cifrado) y amenazar a sus víctimas con publicarla a menos que se pagara el rescate.

Otras familias de ransomware, incluidas Sodinokibi (también conocido como REvil), Avaddon, DoppelPaymer y Ryuk, pronto siguieron su ejemplo y comenzaron a implementar esta efectiva modalidad extorsiva. Los nuevos métodos no solo apuntaron a los datos de las víctimas, sino también a sus sitios web, empleados, socios comerciales y clientes, lo que aumentó aún más la presión y, por lo tanto, la disposición a pagar.

Debido a la mayor efectividad que lograron a través de estas técnicas extorsivas y a la amplia gama de canales de distribución del malware, se estima que cientos de millones de dólares han terminado en las cuentas de estos ciberdelincuentes técnicamente capacitados. Impactantes montos demandados por los criminales, como fueron los $70 millones de dólares exigidos por REvil en el ataque de Kaseya o los $40 millones pagados por la compañía de seguros CNA, demuestran cómo ha escalado esta amenaza en 2021.

Las grandes sumas que viajan hacia las arcas de las bandas de ransomware también les permiten desarrollar su modelo de negocio de ransomware como servicio (RaaS, por sus siglas en inglés) e incorporar una gran cantidad de nuevos afiliados. Aliviados de tener que realizar el “trabajo sucio” de encontrar y extorsionar a las víctimas, algunos de los grupos más avanzados incluso comenzaron a adquirir vulnerabilidades zero-day y comprar credenciales robadas en mercados clandestinos, ampliando aún más el grupo de potenciales víctimas.

Pero estos actores de amenazas no se detienen ahí. El creciente número de incidentes de ransomware conectados directa o indirectamente con ataques de cadena de suministro representa otra tendencia preocupante que podría indicar la dirección en la que van estas bandas.

Ante este escenario, aprender de los diferentes incidentes que se reportan diariamente y de los análisis de malware se ha convertido en una necesidad para cualquier profesional de TI y seguridad. Desde principios de 2020 se ha demostrado una y otra vez que la implementación de políticas, la adecuada configuración del acceso remoto, y el uso de contraseñas seguras en combinación con la autenticación multifactor, pueden ser los elementos decisivos en la lucha contra el ransomware. Muchos de los incidentes mencionados en el whitepaper Ransomware: A criminal art of malicious code, pressure and manipulation también ponen en evidencia la importancia de instalar las actualizaciones de seguridad a tiempo, ya que las vulnerabilidades divulgadas y reparadas (pero sin parchear) se encuentran entre los vectores de interés de estas bandas.

Pero incluso una buena higiene cibernética y una correcta configuración no detendrán a todos los atacantes. Para contrarrestar a los actores de ransomware que utilizan vulnerabilidades zero-day, botnets, malspam y otras técnicas más avanzadas, se necesitan tecnologías de seguridad adicionales. Entre ellas una solución de seguridad para endpoint de múltiples capas, capaz de detectar y bloquear amenazas que lleguen a través del correo electrónico, ocultas detrás de un enlace o a través de RDP y otros protocolos de red; así como herramientas de respuesta y detección de endpoints para monitorear, identificar y aislar anomalías y signos de actividad maliciosa en el entorno de la organización.

Las nuevas tecnologías, si bien aportan beneficios a la sociedad, también constituyen un campo de oportunidades en constante expansión para los ciberdelincuentes. Con suerte, al explicar qué tan grave se ha vuelto una amenaza como el ransomware y qué se puede hacer para defenderse de ella, este whitepaper ayude a asegurar esos beneficios y a minimizar las pérdidas causadas por los malos actores.