Malware es el término general para cualquier software malicioso que permita el acceso no autorizado a los sistemas de un usuario. El ransomware es un subconjunto de malware que exige un pago para desbloquear y descifrar los datos, lo que permite a la víctima recuperar el acceso.
¿Cómo funciona el ransomware?
El ciclo de vida del ransomware tiene seis etapas generales: distribución e infección de malware; comando y control; descubrimiento y movimiento lateral; robo malicioso y cifrado de archivos; extorsión; y resolución.
Etapa 1: Distribución e infección de malware
Antes de que los atacantes puedan exigir un rescate, deben infiltrarse en los sistemas de sus víctimas e infectarlos con malware. Los vectores de ataque de ransomware más comunes son el phishing, el protocolo de escritorio remoto (RDP) y el abuso de credenciales, y las vulnerabilidades de software explotables:
- Phishing o suplantación de identidad. Este es el tipo de ingeniería social más popular, y sigue siendo el principal vector de ataque para todo tipo de malware. Los atacantes combinan correos electrónicos que parecen legítimos con enlaces y archivos adjuntos maliciosos para engañar a los usuarios para que instalen malware sin saberlo. Los ataques de smishing, vishing, phishing y de abrevadero (watering hole) son todas formas de estafas de phishing y de ingeniería social que los atacantes utilizan para engañar a las personas para que inicien la instalación de malware.
- RDP y abuso de credenciales. Esto implica el uso de ataques de fuerza bruta o de relleno de credenciales o la compra de credenciales de la web oscura, con el objetivo de iniciar sesión en los sistemas como usuarios legítimos y luego infectar la red con malware. RDP es un protocolo que permite a los administradores acceder a servidores y escritorios desde prácticamente cualquier lugar y permite a los usuarios acceder de forma remota a sus escritorios.Sin embargo, las implementaciones del protocolo de escritorio remoto (RDP) mal protegidas son un punto de entrada común del ransomware.
- Vulnerabilidades del software. También son un objetivo frecuente de infecciones de ransomware. Los atacantes se infiltran en los sistemas de la víctima atacando software sin parches o desactualizado. Uno de los mayores incidentes de ransomware de la historia, WannaCry, está vinculado al exploit EternalBlue, una vulnerabilidad en versiones sin parches del protocolo Windows Server Message Block (SMB).
Etapa 2: Comando y control
Un servidor de comando y control (C&C) configurado y operado por los atacantes del ransomware envía claves de cifrado al sistema de destino, instala malware adicional y facilita otras etapas del ciclo de vida del ransomware.
Etapa 3: Descubrimiento y movimiento lateral
Esta etapa de dos pasos implica que los atacantes primero recopilen información sobre la red de la víctima para ayudarlos a comprender mejor cómo lanzar un ataque exitoso y luego propaguen la infección a otros dispositivos y eleven sus privilegios de acceso para buscar datos valiosos.
Etapa 4: Robo malicioso y cifrado de archivos
En esta etapa, los atacantes extraen datos al servidor C&C para utilizarlos en ataques de extorsión en el futuro. Luego, los atacantes cifran los datos y los sistemas utilizando las claves enviadas desde su servidor C&C.
Etapa 5: Extorsión
Los atacantes exigen el pago de un rescate. La organización ahora sabe que es víctima de un ataque de ransomware.
Etapa 6: Resolución
La organización víctima debe entrar en acción para abordar y recuperarse del ataque. Esto podría implicar restaurar copias de seguridad, implementar un plan de recuperación de ransomware, pagar el rescate, negociar con atacantes o reconstruir sistemas desde cero.
¿Cuáles son los diferentes tipos de ransomware?
El ransomware se define y clasifica según cómo se entrega y su impacto. La entrega incluye ransomware como servicio (RaaS), entrega automatizada (no como servicio) y entrega operada por humanos. El impacto podría ser la indisponibilidad de datos, la destrucción de datos, la eliminación de datos y la exfiltración y extorsión de datos.
Los siguientes términos describen con más detalle los diferentes tipos de ransomware:
- El ransomware Locker bloquea por completo a las víctimas de sus datos o sistemas.
- El ransomware Crypto cifra todos o algunos de los archivos de las víctimas.
- El scareware asusta a las víctimas haciéndoles creer que sus dispositivos están infectados con ransomware cuando tal vez no lo estén. Luego, los atacantes engañan a las víctimas para que compren software que supuestamente eliminará el ransomware cuando en realidad roba datos o descarga malware adicional.
- El extortionware, también conocido como software de fuga (leakware), doxware y software de exfiltración (exfiltrationware), implica que los atacantes roben los datos de las víctimas y amenacen con hacerlos públicos o venderlos en la web oscura.
- El malware Wiper actúa como ransomware, pero en realidad es una forma destructiva de malware que borra datos de los sistemas de las víctimas, incluso si realizan pagos de rescate.
- El ransomware de doble extorsión cifra los datos de las víctimas y los extrae para extorsionarlas y obligarlas a pagar un rescate, potencialmente dos veces.
- El ransomware de triple extorsión cifra los datos de las víctimas, extrae datos para extorsionar a las víctimas y añade una tercera amenaza. A menudo, este tercer vector es un ataque DDoS o la extorsión de los clientes, socios, proveedores y partes interesadas de las víctimas para que paguen rescates o insten a la organización inicialmente infectada a pagar. Esto podría dar lugar a que los atacantes reciban tres o más pagos de rescate por un solo ataque.
- RaaS, un modelo de entrega más que un tipo de ransomware, a menudo se incluye en las listas de tipos de ransomware. RaaS es un modelo basado en suscripción en el que los desarrolladores de ransomware venden el malware de pago por uso a los operadores de ransomware, quienes les dan a los desarrolladores un porcentaje de las ganancias del ataque.
Breve cronologia de ransomware
1989: Primer ataque de ransomware documentado, conocido como el troyano AIDS o «PC Cyborg», se distribuyó en disquetes.Ocultaba directorios de archivos en el ordenador de la víctima y exigía 189 dólares para desocultarlos. Sin embargo, debido a que cifraba los nombres de los archivos en lugar de los propios archivos, era fácil para los usuarios revertir el daño sin pagar un rescate.
1996: al analizar las fallas del virus troyano AIDS los científicos informáticos Adam L. Young y Moti Yung advirtieron sobre futuras formas de malware que podrían usar criptografía de clave pública más sofisticada para mantener como rehenes los datos confidenciales.
2005: después de relativamente pocos ataques de ransomware a principios de la década de 2000, comienza un repunte de infecciones, centrado en Rusia y Europa del Este. Aparecen las primeras variantes para usar el cifrado asimétrico. A medida que el nuevo ransomware ofrecía formas más efectivas de extorsión, más delincuentes cibernéticos comenzaron a propagar ransomware en todo el mundo.
2009: la introducción de la criptomoneda, particularmente el bitcoin, brinda a los delincuentes cibernéticos una forma de recibir pagos de rescate irrastreables, impulsando el próximo aumento en la actividad de ransomware.
2013: la era moderna del ransomware comienza con CryptoLocker, que inaugura la ola actual de ataques de ransomware altamente sofisticados basados en cifrado y que solicitan pago en criptomonedas.
2015: la variante de ransomware Tox presenta el modelo de ransomware como servicio (RaaS).
2017: aparece WannaCry, los primeros criptogusanos autorreplicantes ampliamente utilizados.
2018: Ryuk popularizó la caza mayor en el ransomware.
2019: los ataques de ransomware de doble y triple extorsión comienzan a aumentar. Casi todos los incidentes de ransomware a los que el equipo de respuesta a incidentes de IBM® Security X-Force ha respondido desde 2019 han involucrado una doble extorsión.
2022: El secuestro de hilos, en el que los delincuentes cibernéticos se insertan en las conversaciones en línea de los objetivos, surge como un vector de ransomware destacado.
En Conocimiento Libre te ofrecemos cursos y certificaciones en Ciberseguridad, Hacking y prevención de ataques y herramientas de monitoreo que te ayudaran a proteger tus servidores.
Artículos relacionados:
México en el top 10 de paises con mas ataques de ransomware en el mundo
Fuente: