Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Actualidad

¿Qué es ransomware? Todo lo que debes saber

21 Jul 2023

El ransomware es un tipo de malware cuyo objetivo es secuestrar los recursos de los que dependen las organizaciones. El objetivo es impedir que las víctimas puedan acceder a los datos o bien extorsionarlas ante su posible difusión a terceros.

Esta amenaza aparece como una de las formas más dañinas que han desarrollado los ciberdelincuentes para explotar las vulnerabilidades digitales de las organizaciones.

Con el número de ataques multiplicándose en los últimos años, resulta indispensable saber qué es ransomware y cómo proteger los equipos frente a esta amenaza. Es más, los costes de los ataques ransomware para las organizaciones continúan creciendo: datos citados por IBM cuantifican este coste en cifras de hasta 7 y 8 dígitos para una empresa atacada.

Por suerte, hay fórmulas para prevenir y atajar este problema, que cada vez pone más en jaque a miles de organizaciones. Te contamos todo lo que necesitas saber sobre el ransomware y cómo protegerse.

Tabla de contenidos

¿Qué es ransomware? Una definición

El ransomware es un tipo de malware que bloquea datos o inhabilita un dispositivo informático, amenazando con mantenerlo inaccesible para las víctima a menos que ésta pague un rescate al atacante. Su nombre, de hecho, proviene de la conjunción de dos palabras: “ransom” (secuestro) y “ware” mercancía – malware.

En su forma más tradicional el malware se ocupa de cifrar archivos y, en cierto modo, tomarlos como rehenes. Para recuperar el control, los ciberdelincuentes exigen recibir un rescate a cambio. En dispositivos móviles el cifrado es más inusual, y los ciberdelincuentes suelen inhabilitar el acceso al dispositivo.

Existen diferentes tipos de ransomware, muchos de ellos acercándose a la extorsión digital. En estos casos, los criminales amenazan con hacer públicos datos confidenciales, o pueden llegar a subastarlos en la dark web. También se enmarcan dentro del ransomware aquellos ataques de estados nación que lo han empleado para interrumpir las operaciones de sus enemigos.

definición ransomware

Etapas de un ataque de ransomware

1. Acceso inicial

En primer lugar, los atacantes buscan el método para entrar en el sistema. Suelen emplearse métodos como el phishing, la explotación de otras vulnerabilidades, además de otros métodos (archivos aparentemente familiares, servicios remotos externos…). También es común el uso de troyanos de acceso como Valak, Bazar, QakBot o TrickBot.

2. Post explotación

En esta segunda etapa, los atacantes emplean malware ofensivo o una herramienta de acceso remoto para tomar el control del equipo.

3. Comprensión y ampliación

Llega una fase de reconocimiento, en la que los ciberdelincuentes intentan obtener información de los sistemas. Se ocupan así de dominar el sistema y adquirir credenciales para tener acceso a los datos que les interesan (información financiera, propiedad intelectual…). Para ello, tiene lugar un movimiento lateral, que les permite infectar otros sistemas en red a partir del que ya han comprometido.

4. Selección y exfiltración de datos

Se pone en marcha en este momento la fuga de información, con el objetivo de poder filtrarla más adelante. Aprovechan aquí los backdoors, ylas herramientas de acceso remoto, entre otras. Incluso, algunos grupos tienen sus propias herramientas de exfiltración de datos. Así, la información se envía a un servidor remoto para emplearla más adelante como moneda de cambio durante la extorsión.

5. Implementación del ransomware

Los ataques de ransomware finalizan cuando los operadores implementan el ransomware en la red de la víctima para cifrar sus archivos. De este modo, se impide el acceso a los mismos a menos que se pague el rescate. Los cibercriminales dejan un mensaje junto a un método de pago, comenzando la extorsión.

En algunas de las variantes observadas, los cibercriminales están optando cada vez más por evitar el cifrado de los datos, empleando directamente el modelo de extorsión. La amenaza de publicar los datos exfiltrados es suficiente para muchas víctimas para pagar el rescate.

tipos ransomware

Tipos de ransomware

Bloqueador de sistema

Esta variante de ransomware se caracteriza por bloquear completamente el acceso al sistema operativo de un dispositivo. En lugar de cifrar los archivos, como lo hacen otros tipos de ransomware, este malware utiliza técnicas que impiden que el usuario pueda utilizar su ordenador o dispositivo móvil.

Para ello, modifica o daña componentes clave del sistema operativo (archivos de inicio, registros del sistema…), haciendo que el dispositivo no pueda arrancar correctamente o que quede atrapado en una pantalla de bloqueo.

Una vez que el sistema está bloqueado, el ransomware mostrará un mensaje en pantalla exigiendo un rescate para desbloquear el dispositivo y restaurar el acceso. El mensaje puede contener instrucciones sobre cómo realizar el pago, a menudo solicitando que se haga a través de criptomonedas para dificultar el rastreo.

No obstante, pagar el rescate no garantiza que se recupere el acceso al sistema: los ciberdelincuentes pueden no cumplir con su promesa y dejar el dispositivo bloqueado.

Cifrado de archivos

Conocido también como criptoransomware, consiste en cifrar los archivos de un dispositivo o red, haciendo que sean inaccesibles para el propietario legítimo. Utilizando algoritmos de cifrado fuertes, se impide la lectura o uso de los documentos o equipos sin la clave de descifrado correspondiente.

Este tipo de ransomware se propaga comúnmente a través de métodos como el phishing, descargas de software no confiable, sitios web comprometidos o vulnerabilidades de seguridad en el sistema operativo. Una vez que el ransomware infecta un dispositivo, comienza a buscar y cifrar una amplia variedad de archivos (documentos, imágenes, videos, bases de datos… todo tipo de archivo que contenga información valiosa para el usuario).

Una vez que los archivos están cifrados, el ransomware muestra unmensaje de rescateen el que los ciberdelincuentes exigen un pago en criptomonedas a cambio de proporcionar la clave de descifrado. Este mensaje generalmente incluye instrucciones sobre cómo realizar el pago y un plazo límite para cumplir con las demandas.

La situación puede empeorar cuando los atacantes amenazan con destruir la clave de descifrado o aumentar el monto del rescate si no se realiza el pago dentro del tiempo establecido.

En ocasiones, los ciberdelincuentes podrían emplear más de una clave de descifrado en un mismo incidente, o un algoritmo de recuperación deficiente, lo que complicaría recuperar los datos.

Leakware

Un ataque tipo "leakware" supone una variante de ransomware en la cual los ciberdelincuentes no solo cifran los archivos de la víctima y exigen un rescate para desbloquearlos, sino que también amenazan con filtrar o divulgar los archivos confidenciales si el pago no se realiza.

Scareware

Esta modalidad de ransomware utiliza tácticas de manipulación psicológica para asustar a las víctimas con el fin de obtener un rescate. El scareware no bloquea ni cifra los datos de la víctima, sino que muestramensajes falsos y alarmantes en la pantalla para generar miedo e impulsar a la persona a pagar.

El objetivo principal del scareware es persuadir a los usuarios para que realicen un pago por unsupuesto problema de seguridad o infección grave en su dispositivo. Estos mensajes pueden aparecer en forma de ventanas emergentes, alertas de seguridad falsas o interfaces simuladas de programas antivirus o antispyware.

El scareware utiliza tácticas de manipulación emocional y coerción para presionar a las personas a pagar rápidamente, aprovechando el miedo y la falta de conocimiento técnico de las víctimas.

Grupos más conocidos dedicados al ransomware

LockBit

En activo desde 2019, LockBit se ha convertido en uno de los grupos más prolíficos en cuanto a ataques de ransomware. Se especula con que sus integrantes proceden de Rusia, y ofrece ransomware como servicio (RaaS).

Sus ataques ponen el foco, principalmente, en el sector inmobiliario, manufacturero e industrial, además de servicios profesionales y consultoría.

Cl0p

Cl0p o Clop, surgió en diciembre de 2019 y está ocasionando gran impacto debido a la explotación de la vulnerabilidad sobre MOVEit.

Este malware está siendo usado por grupos de gran impacto como FIN11 y TA505, siendo este último uno de los mayores distribuidores a nivel mundial de phishing y malspam.

Black Basta

Black Basta apareció por primera vez entre los grupos dedicados al ransomware a través de un ataque que afectó al menos a 20 empresas durante marzo de 2022. Se han especializado en robar los datos financieros de sus víctimas a través de troyanos bancarios.

BlackCat (Alphv)

BlackCat es uno de los ransowmare más sofisticados y técnicamente avanzados. Fue observado a finales de 2021, y está siendo empleado por diversos actores, entre los que destacan DEV-0237 y DEV-0504.

Dado que son actores que habitualmente destacan por el despliegue de otros ransomware que han planteado numerosos problemas (p.ej. Ryuk, REvil) conviene muchísimo tener presente esta amenaza y sus formas de evolución.

ataques ransomware

Ataques ransomware más famosos

WannaCry

El ataque de ransomware WannaCry se considera uno de los ataques cibernéticos más devastadores. Tuvo lugar en mayo de 2017 y afectó a miles de organizaciones en todo el mundo, incluyendo hospitales, empresas de telecomunicaciones, e instituciones gubernamentales, entre otras. WannaCry supuso sin duda alguna un antes y un después para numerosas organizaciones que comenzaron a plantearse muy seriamente la inversión en ciberseguridad para frenar este tipo de ataques.

Para propagarse rápidamente, explotó la función de protocolo de escritorio remoto (RDP) llamada "EternalBlue" en Windows. Esto lo volvió particularmente destructivo.

Una vez que WannaCry infectaba un dispositivo, cifraba los archivos del usuario y mostraba un mensaje exigiendo el pago de un rescate en Bitcoin para desbloquear los archivos.

GrandCrab

El ataque GrandCrab es otro ejemplo notable de ransomware que adquirió renombre en el mundo de la ciberseguridad. Fue un tipo de ransomware distribuido como servicio (RaaS, por sus siglas en inglés) que estuvo activo desde principios de 2018 hasta mediados de 2019, aunque han surgido variantes posteriores.

GrandCrab se propagó principalmente a través de campañas de phishing y exploit kits, aprovechando vulnerabilidades en el software y utilizando correos electrónicos maliciosos con archivos adjuntos infectados. Una vez que infectaba un sistema, GrandCrab cifraba los archivos del usuario y mostraba un mensaje de rescate que exigía un pago en criptomonedas, generalmente Bitcoin, a cambio de la clave de desencriptación.

Ataques en el sector de manufactura

Uno de los ciberataques de ransomware más notables, llevado a cabo durante marzo de 2023 tuvo lugar contra la empresa de software y hardware Acer, de la que se consideran expuestos 160GB de contenido clasificado. Esta compañía ya se enfrentó a la petición de un rescate de 50 millones de dólares en 2021, una de las más importantes dentro de los registros históricos de rescates por ransomware por entonces.

En 2021 la operación se atribuyó al grupo REvil, el cual publicó diversos ficheros y datos robados en su propio portal web. Para presionar y lograr el pago del rescate, REvil ofreció un descuento del 20% si el rescate se pagaba en una fecha determinada, procediendo en tal caso a eliminar los archivos robados, ofrecer un descifrador, y cerrar el asunto con un informe de vulnerabilidad. A su vez, también amenazaron con duplicar el precio si se pasaba el plazo.

Ataques en el sector salud

A lo largo de 2020 y 2021, diversas oleadas de ataques de ransomware fueron perpetradas contra el sector de investigación de vacunas contra el COVID-19 y el sector de la salud.

Uno de los mayores afectados fue el Ejecutivo de Servicios de Salud de Irlanda (HSE), pues se vio obligado a cerrar todos sus sistemas de TI, tanto a nivel local como nacional. Este incidente de ransomware atribuido al grupo Conti afectó seriamente a la operatividad diaria especialmente de su sede central, provocando importantes retrasos y cancelaciones de visitas médicas durante la crisis sanitaria.

En este mismo sentido, un caso particularmente siniestro tuvo lugar a finales de 2020, cuando un ataque perpetrado por el grupo DopplePaymer  contra el Hospital de Dusseldorf (Alemania) provocó el desvío de una ambulancia mientras que una paciente estaba siendo trasladada, y que finalmente falleció. Pese a que finalmente no se ha atribuido la responsabilidad al ataque directamente, se aseguró que en caso de continuar este tipo de ataques no sería extraño que pronto ocurrieran desgracias mayores.

Por su parte, un balance realizado desde Becers Hospital halló que, tan sólo en lo que va de año, 15 sistemas de salud responsables de gestionar 29 hospitales han sido atacados por incidentes de ransomware.

Uno de los más notorios fue el ciberataque al Hospital Clínic de Barcelona. Ocurrido en marzo de 2023, logró interrumpir la actividad normal de esta institución. La Agencia de Ciberseguridad de Cataluña aseguró que el ciberataque, “sofisticado y complejo”, era responsabilidad del grupo Ransom House.

A través de este ataque, los ciberdelincuentes lograron acceso a datos de carácter personal de pacientes, profesionales y entidades colaboradoras y proveedores, información que han ido publicando en los meses posteriores como medida de extorsión.

Ataques a sistemas de transporte

Alrededor de mayo de 2021, tuvo lugar un ataque al Colonial Pipeline, responsable del mayor sistema de transporte de derivados del petróleo en Estados Unidos. Este incidente provocó un grave e inmediato colapso en el suministro de combustible de todo el país.  Darkside, el grupo responsable del ataque, recibió un pago de alrededor de cinco millones de dólares, pese a que casi la mitad pudieron ser interceptados por las fuerzas de seguridad del país.

Más adelante, en marzo de 2023, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) se pronunció sobre el ransomware y los sistemas de transporte. Así, indicó que aunque la mayoría de los ataques en 2022 se atribuyen a cibercriminales con motivos económicos, también se han registrado ataques por parte de actores que podrían tener intereses estratégicos, y que están especialmente interesados en el transporte marítimo.

En este sentido, entre los ataques más recientes se encuentra el ataque de ransomware que sufrió en enero de 2023 la compañía noruega DNV, uno de los mayores proveedores de software marítimo, que afectó a un millar de embarcaciones.

Por su parte, Pierce Transit, compañía de transporte público, fue víctima de LockBit en febrero de 2023, en un ataque en el que los cibercriminales demandaron 2 millones de dólares para la recuperación de los datos.

prevenir ransomware

Protección contra ransomware

Ante la complejidad y gravedad del ransomware, las empresas deben diseñar cuidadosamente los mecanismos de seguridad.

Así, un correcto análisis de riesgo se traducirá en la implementación de diferentes medidas: desde la instalación de soluciones de seguridad para la detección de infecciones (antimalware), a la gestión de copias de respaldo, la protección de los procesos de autenticación o el despliegue de soluciones de sistemas de prevención, detección y monitorización, entre otros muchos.

El objetivo es poner en marcha las herramientas necesarias para crear una arquitectura deseguridad por capas, que sea decisiva a la hora de frenar esta amenaza.

Prevención y vacunación

Existen múltiples medidas para prevenir el ransomware que las empresas pueden implementar:

  • Actualización del sistema y aplicaciones, con los últimos parches de seguridad

  • Instalación de una solución antimalware y un cortafuegos correctamente configurado. También aparecen herramientas anti ransom específicas contra este tipo de ataques

  • Puesta en marcha de un filtro antispam, ya que muchos de los ataques se distribuyen a través de campañas masivas de correo electrónico.

  • Establecimiento de bloqueadores de JavaScript, capaces de bloquear la ejecución de todo código sospechoso.

Además, dado que los grupos de cibercriminales emplean cada vez más la investigación previa de víctimas potenciales, es muy recomendable emplear medidas de monitorización sobre la huella digital de la empresa. De esta forma, se aplica la cibervigilancia sobre la propia entidad como una medida preventiva que permita conocer toda la información pública que los atacantes podrían emplear contra la entidad, para intentar minimizar esta información y aplicar posibles contramedidas.

Respecto a la detección del malware, destacan herramientas como CLAUDIA, desarrollado por S2 Grupo para la detección de anomalías y usos indebidos en el puesto de usuario. Capaz de detectar malwares complejosy movimientos laterales relacionados con amenazas avanzadas persistentes (APT), ofrece rapidez y eficiencia en la investigación y resolución de incidentes de seguridad.

En este área destaca igualmente microCLAUDIA, servicio especializado en la vacunación de equipos. Válido ante nuevas campañas y amenazas, proporciona protección frente a los malware de código ransomware específicamente, con actualizaciones automáticas y en tiempo real.

Ambas herramientas, además, se nutren de detectores que forman parte del esfuerzo continuo de los analistas de S2 Grupo.

Respuestas a incidentes

Las empresas deben, asimismo, estar preparadas para responder ante potenciales incidentes.

En este sentido, deberán desarrollar políticas orientadas a:

  • Identificar y contener los sistemas o dispositivos infectados tras la detección del ataque. Esto ayuda a prevenir la propagación del ransomware a otros sistemas y minimiza el impacto.

  • Informar de inmediato al equipo de seguridad de la organización y a las partes pertinentes, como el equipo de T o el de gestión de incidentes y, si es necesario, a las autoridades competentes. Esto es crucial para desarrollar una respuesta coordinada y el apoyo necesario.

  • Determinar la extensión del impacto del ransomware, el nivel de cifrado y el tipo de ransomware utilizado.

  • Si se dispone de copias de seguridad confiables y actualizadas, restaurar los sistemas y los datos afectados a partir de ellas.

  • Monitorizar el uso de los recursos materiales y humanos de la organización.

Herramientas

La amplia oferta de herramientas para combatir el ransomware brinda opciones a las organizaciones para protegerse. Sin embargo, es importante elegir soluciones confiables, mantenerlas actualizadas y complementarlas con buenas prácticas de seguridad para una protección integral contra el ransomware.

Algunas de ellas incluyen:

Descrifradores

Los descifradores (también conocidos como "decryptors" en inglés) son herramientas específicas diseñadas para descifrar los archivos cifrados por ciertos tipos de ransomware.

El objetivo es proporcionar una solución para las víctimas de ransomware y ayudarles a recuperar el acceso a sus archivos sin tener que pagar un rescate.

Herramientas de vigilancia y detección

Componentes clave en la defensa contra el ransomware, se ocupan de monitorear y analizar constantemente el tráfico de red, los sistemas y los comportamientos sospechosos para identificar y alertar sobre posibles ataques de ransomware en tiempo real.

Vacunas

Las vacunas representan mecanismos de protección que se utilizan para prevenir o mitigar los ataques de ransomware. De un modo similar a las vacunas médicas que nos protegen contra enfermedades, las vacunas de ransomware son métodos defensivos que ayudan a evitar que el ransomware infecte archivos en un sistema.

Para ello, funcionan creando archivos o entradas de registro que imitan ser objetivos potenciales para el ransomware. Estos señuelos engañan al ransomware haciéndole creer que el sistema ya ha sido infectado o que los archivos ya están cifrados, lo que puede evitar que el ransomware se ejecute o se propague correctamente.

Es aquí donde destacan herramientas como microCLAUDIA, el servicio de S2 Grupo especializado en la vacunación de equipos.

Informes sobre ransomware

¿Quieres saber más sobre ransomware, cómo han evolucionado estas amenazas hasta el día de hoy y qué pasos son imprescindibles para la protección de las organizaciones?

Descarga el informe de S2 Grupo y accede a todas las claves para comprender el ransomware hoy y cómo protegerse.

incidencias ransomware

Estadísticas y datos sobre ransomware

  • Más de la mitad de las empresas españolas sufrieron un ataque de ransomware en 2020, según el informe ‘Cyberthreat Defense Report 2023’  de CDR

  • Los ataques ransomware se incrementaron en España más de un 100 % en 2021, según SonicWall

  • Entre 2020 y 2021, se incrementó un 25% el valor de los pagos de rescates en ransomware según el informe ‘The State of Ransomware 2023’ de Sophos

  • Los hackers son capaces de penetrar en el 93% de las redes empresariales, según un estudio de Positive Technologies de 2021

  • Se calcula que el ransomware acumulará costes globales de 265.000 millones de dólares para 2031, según Cyber Security Ventures

Artículos relacionados
Ver todas →
Actualidad
IoT en los dispositivos domésticos: una tendencia que llega para quedarse
Leer más →
Actualidad
Descubre los riesgos de una empresa que descuida su ciberseguridad
Leer más →
Actualidad
Ejemplos de Ransomware: Lecciones Aprendidas de Ataques Devastadores
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día