OpiniónCiberseguridad

Evolución de los ataques de ransomware moderno

Yossi Naar, Chief Visionary Officer y cofundador de Cybereason.

Yossi Naar, Chief Visionary Officer y cofundador de Cybereason
Yossi Naar, Chief Visionary Officer y cofundador de Cybereason

Los ataques de ransomware siguen siendo noticia, y lo son por una razón: en promedio, en el mundo hay un nuevo ataque de ransomware cada 11 segundos, y se prevé que las pérdidas para las organizaciones por ataques de ransomware hayan alcanzado los 20.000 millones de dólares en el transcurso de 2021. Esa tasa se traduce en unos 3 millones de ataques de ransomware a lo largo de un año. Esta cifra es impresionante. No estamos hablando del número de archivos encriptados o de organizaciones afectadas: se trata de 3 millones de ataques únicos de ransomware contra organizaciones.

La amenaza del ransomware: 30 años de historia

La mayoría de las organizaciones que han sufrido un ataque de ransomware han experimentado un impacto significativo en el negocio como resultado, incluyendo la pérdida de ingresos, el daño a la marca de la organización, las reducciones de personal no planificadas, e incluso el cierre de la empresa por completo. Hasta el momento, ha habido más de 200 ataques de ransomware que han sido noticia en 2021, y esos son solo los ataques de ransomware que se han reconocido públicamente. Para entender cómo hemos llegado hasta aquí, tenemos que ver cómo ha evolucionado la amenaza a lo largo de los años.

1989: el nacimiento del ransomware

Hay que remontarse a 1989 para constatar el primer caso documentado de ransomware. En diciembre de ese año, el Dr. Joseph Popp, biólogo evolutivo formado en Harvard, envió 20.000 disquetes infectados con un virus informático a personas que habían asistido a la Conferencia Internacional sobre el SIDA de la Organización Mundial de la Salud celebrada en Estocolmo. Una vez cargado en un ordenador, el virus ocultaba los directorios de los archivos, bloqueaba los nombres de estos e informaba a las víctimas de que solo podrían recuperar el acceso a sus archivos enviando 189 dólares a un apartado postal situado en Panamá. El Dr. Popp acabó llamando la atención de las autoridades mientras se encontraba en el aeropuerto de Schiphol unas dos semanas después del ataque. Posteriormente, las fuerzas del orden detuvieron al biólogo evolutivo en casa de sus padres y lo extraditaron al Reino Unido. Allí se enfrentó a 10 cargos de extorsión y daños penales por distribuir lo que ahora se conoce como el 'troyano del sida'.

2007: surgen variantes de locker ransomware

Casi 20 años después, tras el incidente del troyano del sida, aparecieron las primeras variantes de locker ransomware en el panorama de las amenazas. Estas primeras versiones se dirigían a los usuarios de Rusia, "bloqueando" los equipos de las víctimas e impidiéndoles utilizar las funciones básicas de sus ordenadores, como el teclado y el ratón, según señalaron los investigadores de la Universidad Estatal de Kennesaw, de Georgia, Estados Unidos. Tras mostrar una "imagen para adultos" en los ordenadores infectados, el ransomware pedía a las víctimas que llamaran a un número de teléfono de tarificación adicional o enviaran un mensaje de texto SMS para satisfacer las demandas de rescate de los atacantes.

2013: CryptoLocker introduce el ransomware de encriptación moderno

En 2013, una nueva amenaza de ransomware llamada ‘CryptoLocker’ se instala en la carpeta ‘Documents and Settings’ de Windows de las víctimas, así como a la lista del registro. Tras conectarse a uno de sus servidores de comando y control (C&C) codificados, la amenaza sube un pequeño archivo para identificar a su víctima y lo utiliza para generar un par de claves públicas y privadas. A continuación, aprovecha la clave pública para cifrar los documentos, hojas de cálculo, imágenes y otros archivos de las víctimas antes de mostrar su nota de rescate. Ese mensaje informaba a la víctima de que tiene 72 horas para pagar un rescate de 300 dólares, lo que no es nada comparado con las peticiones de rescate actuales, que ascienden a decenas de millones.

Los ataques con CryptoLocker se hicieron más frecuentes en los años siguientes. Según los investigadores de la Universidad Estatal de Kennesaw, el FBI estimó que las víctimas habían pagado 27 millones de dólares a los operadores de CryptoLocker a finales de 2015.

2018: los actores de ransomware pasan a la caza mayor

A comienzos de 2018, el FBI observa un descenso en los ataques indiscriminados de ransomware.

Muchos grupos de ransomware pasaron a dirigirse a grandes organizaciones para poder cifrar datos de gran valor

Los analistas observaron que esas campañas van dando paso a operaciones dirigidas a empresas concretas, a gobiernos estatales y locales, a entidades sanitarias, empresas industriales y organizaciones de transporte. Muchos grupos de ransomware pasaron a dirigirse a grandes organizaciones para poder cifrar datos de gran valor, socavar las operaciones de las víctimas y exigir así un pago de rescate aún mayor. El informe Ransomware: The True Cost to Business mencionado anteriormente destaca algunas de las repercusiones que estos ataques pueden tener en las organizaciones, entre ellas: pérdida de ingresos empresariales (el 66% por ciento de las organizaciones informa de una pérdida significativa de ingresos tras un ataque de ransomware); daño a la marca y a la reputación (el 53% de las organizaciones indican que su marca y reputación fueron dañadas debido a un ataque exitoso); pérdida de talento de alta dirección (el 32% de las organizaciones informa de la pérdida de talento de altos directivos como resultado directo de los ataques de ransomware); y despidos de empleados (un 29% de compañías informa que se ha visto obligado a despedir empleados debido a las presiones financieras después de un ataque de ransomware).

2019: la banda de ransomware Maze y la doble extorsión

Casi a finales de noviembre de 2019, el grupo Maze había logrado vulnerar una empresa de personal de seguridad robando su información en texto plano antes de cifrar sus archivos. Para demostrar su afirmación, los atacantes enviaron una muestra de los archivos robados a la empresa y filtraron 700 MB de datos en línea poco después. Otros grupos de ransomware adoptaron esta técnica de "doble extorsión" en los meses siguientes. Al hacerlo, lograron una ventaja sobre las organizaciones con una estrategia de copia de seguridad de los datos. Sabían que las víctimas podían utilizar sus copias de datos para seguir restaurando los ordenadores infectados, pero que no podían revertir el curso del robo de datos. Así, los atacantes pasan a exigir a sus víctimas el pago de dos rescates, uno por descifrar sus datos y otro por eliminar su información de los servidores de sus operaciones.

El auge de las sofisticadas operaciones de rescate

En un artículo reciente nos hemos ocupado de cómo los complejos ataques de Operaciones de Rescate o RansomOps de hoy en día son más parecidos a las operaciones sigilosas tipo APT que a las antiguas campañas de spam masivo como las mencionadas anteriormente. El artículo también hablaba de la gran economía del ransomware en funcionamiento, cada uno con sus propias especializaciones.

Entre estos actores se encuentran los brókeres de acceso inicial (Initial Access Brokers o IAB), que sientan las bases para un ataque de ransomware infiltrándose en una red y moviéndose lateralmente para maximizar el impacto potencial, y los operadores de ransomware como servicio (RaaS), que proporcionan infraestructura de ataque a los afiliados que llevan a cabo los ataques. Este nivel de compromiso pone a los atacantes de RansomOps en una posición en la que pueden exigir rescates aún mayores, y las técnicas de RansomOps también suelen implicar múltiples técnicas de extorsión, como la táctica de doble extorsión comentada anteriormente.

Algunos grupos han ido más allá: la banda de ransomware Grief ha empezado a amenazar con eliminar la clave de descifrado de la víctima si esta decide contratar a alguien que le ayude a negociar la petición de rescate. Esto llegó después de que el grupo RagnarLocker amenazara con publicar los datos de la víctima si notificaba la infección al FBI o a las autoridades locales.

 

Defenderse contra el ransomware y las operaciones de rescate

Con los instrumentos adecuados, es posible que las organizaciones se defiendan contra el ransomware y las RansomOps desde las primeras etapas de un ataque. Conviene recordar que la solicitud de pago de un rescate es la última parte de un ataque de RansomOps, por lo que hay semanas o incluso meses de actividad detectable antes de la solicitud de pago de un rescate en los que se puede frustrar un ataque antes de que haya un impacto serio en la organización objetivo. La clave para acabar con los ataques de ransomware es minimizar el periodo entre el momento en que un ataque de RansomOps se infiltra por primera vez en el entorno y el momento en que el equipo de seguridad puede detectarlo y acabar con él. Esto no puede lograrse utilizando tecnologías anticuadas que se basan en la inteligencia sobre amenazas derivada de productos básicos u otros ataques conocidos. Por lo tanto, muchas organizaciones han optado por adoptar soluciones que pueden detectar ataques únicos y altamente dirigidos basados en señales de comportamiento más sutiles que pueden hacer aflorar estos ataques en una fase temprana de la cadena de la operación maliciosa. A medida que estas soluciones resulten más eficaces que sus predecesoras, será interesante ver cómo los atacantes se adaptan y siguen evolucionando sus herramientas y tácticas para compensar.

Computing 813