/ ¿Qué es el ransomware?
¿Qué es el ransomware?
El ransomware es una forma de malware (software malicioso) que cifra o roba datos y los retiene para pedir un rescate, normalmente exigido en criptodivisas como bitcoin. Los ataques de ransomware suelen cifrar archivos, negando a las víctimas el acceso a sus datos a menos que paguen antes de una fecha límite, después de la cual pueden perder el acceso a los datos cifrados permanentemente. El pago exigido por una clave de descifrado puede oscilar entre cientos y millones de dólares.
La historia del ransomware y el aumento de los ataques
Aunque los ciberdelincuentes llevan más de 30 años usando ataques de ransomware, en los últimos años se ha producido un repunte significativo. Según el FBI, los ataques de ransomware comenzaron a aumentar en 2012 y no muestran signos de desaceleración.
En el pasado, un profesional capacitado podía revertir fácilmente los ataques de ransomware que bloqueaban los archivos o la computadora de un usuario. Pero en los últimos años, estos ataques se han vuelto más sofisticados y, en muchos casos, han dejado a las víctimas sin otra opción que pagar las demandas de rescate o perder sus datos para siempre.
Un cambio reciente y notable en muchas variantes de la familia de ransomware es la adición de una función de filtración de datos. Esta nueva característica permite a los ciberdelincuentes extraer datos confidenciales de las organizaciones víctimas antes de cifrarlos. Estos datos exfiltrados son como una póliza de seguro para los atacantes: incluso si las víctimas tienen buenas copias de seguridad de los datos, pagarán el rescate para evitar que sus datos queden expuestos.
Debido a las limitaciones de capacidad de las tecnologías de seguridad heredadas, como los firewalls de próxima generación, la mayoría de las organizaciones no tienen la capacidad de inspeccionar todo el tráfico cifrado que viaja hacia y desde los puntos finales. Los atacantes lo saben, por lo que utilizan cada vez más el cifrado para ocultar su código malicioso en enlaces y archivos adjuntos.
Cómo opera el ransomware
Una infección de ransomware se propaga más comúnmente a través de correos electrónicos de phishing y anuncios con enlaces infectados o un sitio web infectado con malware. Estas estafas a menudo parecen haber sido enviadas desde una organización legítima o desde alguien conocido por la víctima (en ataques dirigidos), engañando al usuario para que haga clic en un enlace malicioso o abra un archivo adjunto malicioso que despliega la carga útil del ransomware en la máquina.
En los ataques de ransomware a un individuo, los documentos, las fotografías y la información financiera suelen quedar bloqueados y retenidos como rehenes. Si bien los individuos pueden ser un objetivo más fácil, las corporaciones (especialmente las organizaciones más grandes) son mucho más atractivas. Si los hackers logran que un solo empleado descargue el malware, este puede propagarse desde la computadora o dispositivo móvil de esa víctima a la red, donde hay mucho más en juego. Un ataque no solo puede interrumpir las actividades, sino que la amenaza de pérdida o exposición de datos podría ser devastadora y costosa en dólares y en reputación de la empresa.
Tipos/ejemplos de ataques de ransomware
Entre los innumerables tipos de ransomware y grupos de ransomware, algunos de los más comunes y conocidos son:
- Cryptolocker: en 2014, el malware CryptoLocker fue neutralizado en gran medida gracias a una colaboración internacional de empresas de seguridad y fuerzas del orden. Sin embargo, debido a su éxito, han surgido una gran cantidad de imitadores de Cryptolocker.
- GandCrab: según el informe Ransomware in Global Context de VirusTotal, esta familia ha sido la más prevalente en ataques de ransomware desde 2020, con un 78.5 % de las muestras tomadas para el informe proveniente de esta familia.
- REvil/Sodinokibi: Este grupo es conocido por robar grandes cantidades de información en los sectores de servicios jurídicos y de entretenimiento, así como en el sector público. Aparecieron en los titulares por primera vez en mayo de 2020, pero llevaron a cabo ataques sucesivos todos los meses de marzo a octubre de 2021, incluido el ataque a Kaseya VSA.
- WannaCry: Un criptogusano ransomware dirigido al sistema operativo Microsoft Windows, ha afectado a más de 300,000 sistemas (y muchos sistemas más) en todo el mundo desde su lanzamiento en 2017.
- Ryuk: esta cepa de ransomware se ha relacionado con una serie de grupos que han impactado a sectores como la asistencia médica, el sector público y la educación, en especial en los sistemas escolares de EE. UU.
- Evil Corp: este grupo es responsable de Dridex, un tipo de malware distribuido a través de correos electrónicos de phishing que es conocido por robar credenciales bancarias. Desde entonces se lo ha asociado con otros tipos de ransomware como WastedLocker, BitPaymer y DoppelPaymer.
Estos son solo algunos de los ejemplos más notables de ransomware. Cada día nacen nuevas variantes de ransomware, cada una de ellas diseñada para atacar una variedad de vectores. Entonces, ¿hasta qué punto está a salvo de los ataques de ransomware? Realice un análisis gratuito de exposición a amenazas en Internet para averiguarlo.
Ransomware como servicio (RaaS)
El ransomware como servicio es un subproducto fruto de la popularidad y el éxito del ransomware. Al igual que muchas ofertas de SaaS legal, las herramientas RaaS suelen ser de suscripción. A menudo son económicas y fáciles de obtener en la web oscura, lo que proporciona a cualquier persona una plataforma para lanzar un ataque, incluso para aquellos sin habilidades de programación. Si un ataque RaaS tiene éxito, el dinero del rescate se divide entre el proveedor de servicios, el codificador y el suscriptor.
Mejores prácticas de prevención de ransomware
Aunque algunas organizaciones están invirtiendo en seguros de ciberseguridad para cubrir los costos en caso de un ciberataque o una violación de datos, la mejor manera de actuar cuando se trata de ransomware es la prevención. Para proteger a su organización del ransomware, CISA, la Agencia de Ciberseguridad y Seguridad de Infraestructuras y el FBI recomiendan lo siguiente:
- Haga una copia de seguridad de las computadoras para que pueda restaurar su sistema a su estado anterior usando sus copias de seguridad.
- Almacene las copias de seguridad por separado, por ejemplo, en un disco duro externo o en la nube, para que no se pueda acceder a ellas desde una red.
- Actualice e instale parches en computadoras para reparar vulnerabilidades en aplicaciones y sistemas operativos.
- Capacite a los empleados con sesiones continuas y obligatorias de concientización sobre ciberseguridad para garantizar que estén al tanto de las ciberamenazas actuales y las mejores prácticas de seguridad. Asegúrese de que sean cautelosos con el correo electrónico, incluso de los remitentes que conocen, verificando la legitimidad del remitente antes de abrir cualquier archivo adjunto del correo electrónico o hacer clic en enlaces.
- Cree un plan de continuidad para la reparación en caso de que su organización sea víctima de un ataque de ransomware.
- Utilice software antimalware y/o antivirus para ayudar a los usuarios a detener las amenazas antes de que puedan causar estragos.
- Implemente medidas de autenticación sólidas utilizando confianza cero para evitar que los hackers vulneren su red, sus aplicaciones y sus datos.
Las mejores defensas tecnológicas
La tecnología moderna de defensa contra el ransomware no solo es muy eficaz, sino también fácil de implementar. Una protección adecuada contra el ransomware comienza con la adopción de una postura de seguridad construida de manera nativa en la nube para proteger a los usuarios, las aplicaciones y los datos confidenciales de estos ataques, independientemente de dónde se conecten los usuarios o qué dispositivos estén utilizando.
Para defenderse de las amenazas de ransomware más comunes, una estrategia de prevención debe incorporar los siguientes principios y herramientas, a fin de evitar que estos ataques expongan sus datos, interrumpan su actividad o cuesten tiempo y dinero a su organización:
- Utilizar una cuarentena de sandbox administrada con inteligencia artificial para retener e inspeccionar el contenido sospechoso antes de permitir que pase al destinatario
- Inspeccionar todo el tráfico cifrado con SSL/TLS para garantizar que no haya amenazas ocultas
- Implementar una protección siempre activa para los usuarios dentro y fuera de la red.
Ninguna empresa grande o pequeña está a salvo del ransomware sin una defensa de seguridad especializada. No se convierta en la próxima víctima del ransomware o en la próxima organización que aparezca en las noticias por un ataque.
Fortalezca su estrategia de protección contra ransomware hoy mismo
Como muestran las investigaciones y los titulares, el ransomware no va a desaparecer. Zscaler ya ha ayudado a miles de clientes a evitar que el ransomware y otros innumerables ataques a la seguridad lleguen a sus redes con una escalabilidad sin precedentes y una magnífica experiencia de usuario.
Estos son algunos recursos adicionales a tener en cuenta a medida que perfecciona su estrategia general de seguridad: