¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Ransomware: Definición, tipos y tendencias 2021-2022

10 Mins read

Aunque el ransomware existe como ciberamenaza desde hace más de una década, los ataques de ransomware están protagonizando actualmente una gran cantidad de noticias, especialmente por el tipo de objetivos que se han visto afectados y el daño causado no solo a estos, sino también a los propios ciudadanos, que han sufrido las consecuencias que un ataque de ransomware provoca.

En el blog de Atico34 ya os hemos hablado de diferentes tipos de ransomware, por lo que este artículo lo vamos a dedicar a explicar qué es el ransomware, cómo funciona y por qué parece estar experimentándose una tendencia creciente en el número de ataques.

¿Qué es el ransomware? Definición

Si tuviésemos que dar una definición de ransomware, podríamos definirlo como un tipo de malware que secuestra archivos o el equipo entero, impidiendo al usuario el acceso a los primeros o el uso del segundo. Para poder desbloquearlos, es necesario pagar al cibercriminal un rescate a cambio. Actualmente, este rescate se pide en algún tipo de criptomonedas.

Aunque los últimos ataques de ransomware han hecho el concepto mucho más conocido entre el público en general, el ciberataque de ransomware se empezó a popularizar en la década de los 2000, si bien el primer caso de ransomware es mucho más antiguo, de 1989; distribuido mediante el troyano AIDS a través de disquetes enviados a las víctimas por correo postal bajo la apariencia de un programa educativo sobre el SIDA.

¿Cómo funciona el ransomware?

Sin entrar en tecnicismos, una vez que el ransomware ha infectado el ordenador o la red de una empresa u organismo público, lo que hace es cifrar varios o todos los archivos, impidiendo así que los usuarios puedan acceder a ellos. Intentar recuperar los archivos por nuestra cuenta es una misión imposible, puesto que necesitaremos la clave de cifrado específica usada, que es precisamente lo que vamos a pagar.

Salta entonces un aviso que nos informa de que somos víctimas de un ransomware y que la única forma de recuperar el control de la información y equipos es pagando el rescate exigido (si la víctima es una empresa, la cuantía exigida será elevada). El aviso incluye las instrucciones de cómo, dónde y en qué criptomoneda realizar el pago del rescate, y un plazo de tiempo para hacerlo, antes de perder los archivos para siempre o que estos sean filtrados.

En ocasiones, el ransomware se infiltra en el equipo o la red y espera un tiempo antes de efectuar el cifrado de archivos. Ese tiempo lo suele emplear en extraer información confidencial, para llevar a cabo un segundo tipo de extorsión aparte del dinero del rescate y que exige a las víctimas una mayor cantidad para evitar que la información robada sea filtrada en la Dark Web.

Eso respecto a cómo funciona el ransomware, pero ¿cómo se puede infectar un equipo? Lo cierto es que existen varias formas, en función del tipo de ransomware que se vaya a desplegar y el malware empleado; algunos de estos métodos de infección ni siquiera requieren de la acción del usuario.

Así, entre los vectores más habituales de infección de ransomware tenemos:

  • Mediante phishing, enviando correos fraudulentos que imitan con menor o mayor acierto un correo oficial. Estos correos suelen llevar adjuntos documentos en PDF o Word o Excel que incluyen macros maliciosas. Una vez descargado y abierto el archivo, el ransomware entrará en el equipo.
  • Aprovechando vulnerabilidades presentes en software o sistemas operativos, para lo que el cibercriminal crea un exploit cuya función será aprovechar dicho fallo para instalar el malware, como por ejemplo en el ransomware zero day, que aprovecha las conocidas como vulnerabilidad de día cero, presentes en el software desde el lanzamiento y que no han sido parcheadas.
  • A través de anuncios maliciosos en páginas web, lo que se conoce como malvertising. Solo hace falta pulsar en el anuncio infectado con el ransomware para abrirle la puerta.
  • Mediante descargas drive-by, donde lo único que debemos hacer es entrar un sitio web con ransomware listo para descargarse nada más acceder a él, sin que el usuario tenga que hacer nada. Este tipo de entrada suele aprovechar versiones de navegadores o aplicaciones obsoletas.
  • Ataques de fuerza bruta contra RDP (protocolo de escritorio remoto), mediante el cual los trabajadores en remoto se conectan al ordenador de la oficina y la red corporativa. Los equipos que los usuarios tienen en casa suelen estar menos protegidos y si no usan una VPN, las probabilidades de convertirse en un vector de entrada al ransomware son muchas.
  • A través de ataques que explotan vulnerabilidades de aplicaciones del servidor o servidores VPN. En este caso estamos ante un tipo de ataque de ransomware mucho más dirigido y ante el que los usuarios nada van a poder hacer.

como funciona ransomware

Tipos de ransomware más utilizados

De la misma forma que existen varios métodos de distribución del ransomware, también existen diferentes tipos de ransomware; algunos han tenido como objetivo a particulares, con extorsiones por cantidades de dinero más o menos asequibles para sus víctimas, pero donde realmente se hacen notorios los ataques de ransomware es cuando sus objetivos son grandes empresas o corporaciones, organismos gubernamentales u organizaciones médicas o educativas, puesto que no solo comprometen a la propia entidad, sino también los servicios que suministran, interrumpiéndolos en muchos casos.

Dentro de este grupo (aunque pueden afectar a cualquier tipo de usuario) encontramos los tipos de ransomware más famosos y utilizados en los últimos años.

Ryuk

Ryuk fue uno de los ransomware más activos durante 2019 y 2020, de hecho, en España fue el ransomware que atacó al SEPE y dejó bloqueado parte del servicio público de empleo durante varios días.

Ryuk es una versión modificada del ransomware Hermes, que se dio a conocer en 2018 protagonizando varios ataques desde entonces, como los sufridos por el servicio de agua de Carolina del Norte, por tres hospitales el Alabama o varias organizaciones del sector energético.

Ryuk se despliega utilizando bots como TrickBot y Emotet, que también se dedican a robar información, para luego amenazar con su filtración. Después se ejecuta el ransomware y cifra los archivos.

Sodinokibi

El ransomware Sodinokibi, también conocido como REvil, se detectó por primera vez en Asia en 2019. Este ransomware utiliza funciones lícitas de la CPU para sortear las medidas de seguridad e infectar los equipos.

Es uno de los ransomware con más números de víctimas, responsable de haber afectado a una amplia variedad de sectores empresariales, desde las finanzas, pasando por el consumo y los servicios, hasta la ingeniería. En marzo de 2021 pidieron uno de los rescates más altos de la historia del ransomware, con 50 millones de dólares a Acer.

Una de las particularidades de Sodinokibi es que parece ser un ransomware creado para ofrecerse en «alquiler» a otros usuarios con intenciones cuestionables para su uso.

WannaCry

WannaCry es un malware del tipo troyano detrás de un buen número de ataques de ransomware y considerado uno de los más peligrosos. De hecho, es el responsable de que en 2017 el concepto de ransomware alcanzara de lleno al público en general, puesto que afectó en torno a 200.000 usuarios de aproximadamente 150 países. Entre esos usuarios se incluían grandes empresas e instituciones públicas.

WannaCry aprovechaba una vulnerabilidad de Microsoft llamada EternalBlue en la implantación del protocolo SMB. Los archivos encriptados cambiaban su extensión a .WCRY.

Cryptolocker

Cryptolocker hizo su debut en 2013 y estuvo bastante activo hasta 2014, empleando diferentes versiones. Fue uno de los primeros ransomware en operar a gran escala y derrotarlo implicó los esfuerzos del FBI, la Interpol, varias empresas de seguridad y universidades.

Este ransomware se distribuía a través de archivos adjuntos y correos spam, aprovechando una botnet. Se estima que logró infectar a más de 500.000 equipos. Y aunque actualmente ya no es una amenaza, de él se han derivado otros ransomware basados en su código.

Maze (o ChaCha)

Maze es uno de los ransomware más recientes, puesto que se vio por primera vez en 2019. Además, el grupo detrás de él es uno de los primeros en utilizar la amenaza de la filtración de archivos e información como segundo método de extorsión asociado al ransomware.

A Maze se le atribuyen más de un tercio de los ataques de ransomware desde la fecha en la que se hizo conocido. Ha estado plenamente operativo hasta septiembre de 2020, cuando ha empezado a disminuir el número de ataques con Maze.

Netwalker (o Mailto)

Netwalker es otro de los ransomware más recientes, siendo responsable de numerosos ataques a empresas de logística, grupos industriales y compañías energéticas, entre otros, a lo largo de 2020.

Netwalker se puso a disposición de otros cibercriminales como un servicio RaaS en la Dark Web, lo que habría contribuido a su dispersión.

En 2021 las fuerzas de seguridad consiguieron poner fin a este ransomware, apoderándose de sus recursos en la Dark Web y deteniendo al supuesto responsable detrás del despliegue de Netwalker.

Conti (o IOCP)

También de aparición reciente y responsable de aproximadamente el 13% de los ataques con ransomware, Conti o IOCP apareció a finales del 2019 y, siguiendo los pasos de Maze, aparte de secuestrar los archivos de las redes o equipos infectados, amenazaba con publicar la información robada.

Sin embargo, Conti se diferencia de los demás, porque los ciberdelincuentes detrás de él ofrecían a la empresa atacada ayuda para solucionar el problema de seguridad y evitar futuros ataques utilizando la misma vía o una similar.

DoppelPaymer

DoppelPaymer es una versión de un ransomware anterior, responsable de incontables ataques en todo el mundo, centrados sobre todo en compañías de electrónica y automóviles, organismos gubernamentales, especialmente sanidad, servicios de emergencia y educación.

DoppelPaymer seguiría aún en activo.

STRRAT, el falso virus de ransomware

El uso del ransomware está tan extendido y el usuario medio es ya bastante consciente de lo que implica este tipo de malware, que hay troyanos que hasta se hacen pasar por ransomware para distraer a sus víctimas con una supuesta encriptación de sus archivos, mientras llevan a cabo otras acciones en el equipo. Es el caso de STRRAT, cuyo verdadero objetivo es crear una puerta trasera en el sistema de la víctima para robarle información.

ransomware

¿Por qué se está produciendo un incremento de los ataques de ransomware en 2021?

Visto el aumento de noticias de empresas afectadas por ransomware, parece acertado pensar que estamos ante un incremento en los ataques de ransomware en estos últimos años, en concreto de ransomware dirigido a objetivos muy concretos (grandes empresas, servicios y organizaciones gubernamentales), especialmente, además, a organizaciones que no pueden permitirse estar paradas mucho tiempo y que en bastantes ocasiones acaban pagando el rescate.

De acuerdo a un estudio desarrollado por Kaspersky, los usuarios que sufrieron ataques de ransomware dirigido habrían aumentado entre 2019 y 2020 un 767%. Así que sí, estamos ante una tendencia, cuyas causas las encontramos en diferentes circunstancias.

La existencia del RaaS (ransomware as a service)

Una de esas causas es sin duda la proliferación del ransomware as a service, que permite que prácticamente cualquier cibercriminal con unos pocos conocimientos pueda llevar a cabo un ataque de ransomware, pagando por adquirir un kit de ransomware listo para usar en la Dark Web.

De la misma forma que una persona o una compañía puede contratar un servicio SaaS (software as a service), alguien con ganas de hacer dinero a través de Internet y con poca ética, puede suscribirse a una de esas plataformas de RaaS.

El aumento del teletrabajo y las vulnerabilidades de los RDP

La pandemia de Covid-19 y el consecuente confinamiento, llevaron a muchas empresas a tener que implantar el teletrabajo de forma rápida y con muchas carencias de ciberseguridad, a lo que se sumaban los pocos conocimientos y sensibilización de los propios empleados en la materia, que en muchos casos se conectaban a la red de la compañía a través de RDP pocos seguros.

También, como hemos visto, ha habido ransomwares que han aprovechado vulnerabilidades en los suministradores de servicios, como las VPN, para acceder a redes corporativas y desplegar su ataque.

Los ataques de ransomware en España

España no se ha librado de esta oleada de ataques de ransomware, como bien atestiguan el sonado ataque al SEPE, el sufrido por el Ayuntamiento de Castellón, el de la Universidad de Castilla-La Mancha, el de Adif o el de Mapfre. Las razones detrás de ellos, las mismas que hemos visto en el punto anterior; el aumento del teletrabajo, una formación nula o escasa en ciberseguridad de los empleados y soluciones de seguridad mal gestionadas o configuradas.

Estadísticas de ransomware en España en los últimos años

El informe realizado por Emisoft pone a España en el tercer país donde más se han incrementado los costes por ataques de ransomware en 2020, sufriendo un incremento del 23,3% respecto a 2019. Si bien, el número de ataques ha descendido, el coste asociado a ellos ha aumentado.

De acuerdo a Check Point, el número de ataques de ransomware habría aumentado en España en 2020 un 160%, convirtiéndose en uno de los países de la UE donde más aumentó ese tipo de ataques.

Tal ha sido el impacto de estos ataques de ransomware en España, que el Gobierno prepara un Plan de Ciberseguridad para reforzar esta tanto en el sector público como en el sector privado.

¿Cómo prevenir un ataque de ransomware?

Es evidente el problema que supone a nivel nacional e internacional el ransomware, pero, ¿cómo evitarlo? Principalmente siguiendo estos consejos de ciberseguridad:

  • Para evitar que el ransomware infecte equipos y redes aprovechando vulnerabilidades y exploits, es necesario mantener todos los programas que usemos y el sistema operativo actualizados siempre a su última versión, porque si hay un problema de seguridad, estos parches se crean, precisamente, para solucionarlos.
  • Contar con una solución de seguridad lo más completa posible, como sistemas EDR, que no solo se limiten a tener un antivirus y un firewall, sino a monitorear la red en tiempo real y detectar comportamientos sospechosos.
  • Segmentar la red y limitar los privilegios de acceso a los usuarios, de manera que el daño que pueda causarse sea mínimo.
  • Formar y sensibilizar a los empleados en materia de ciberseguridad.
  • Realizar copias de seguridad periódicas, en la nube y si es posible en equipos no conectados a la red, para que si se sufre un ataque de ransomware, al menos no pierdas completamente todos los archivos que se hayan visto comprometidos.

¿Qué debemos hacer si hemos sido víctimas de una ataque con ransomware?

¿Qué hacer si el ransomware ya ha infectado nuestro equipo o red?

Lo primero es no pagar el rescate, es la recomendación que hacen las fuerzas de seguridad; primero, porque nada garantiza que después del pago te desbloqueen los archivos, y segundo, tampoco hay garantía de que el ransomware no desaparezca del equipo o la red, quedando latente para lanzar un ataque más adelante.

Lo segundo es desconectar el equipo infectado de la Red, para evitar que reciba instrucciones o siga propagando el malware.

Dependiendo del tipo de ransomware empleado, una vez desconectado y mediante el empleo de una solución de seguridad adecuada, puede ser posible eliminarlo del ordenador. En otras ocasiones, la única solución será el formateo del equipo.

Por otro lado, recuperar los archivos cifrados será una tarea básicamente imposible, por lo que la única forma de garantizar que no se pierda información en este tipo de ataques, es, como dijimos ya, realizar copias de seguridad periódicas.

En definitiva, el ransomware es un auténtico problema de seguridad para empresas y entidades públicas, pero hay formas de protegerse de él a las que podemos recurrir para minimizar sus consecuencias, aun cuando el número de ataques parezca seguir aumentando.

About author
Licenciada en Periodismo por la Universidad Complutense de Madrid. Redactora de contenidos informativos, jurídicos y empresariales, Internet, nuevas tecnologías, entorno digital, ciberseguridad y protección de datos.
Articles
Related posts
Ciberseguridad

El centro de operaciones de seguridad (SOC) ¿Cómo puede ayudar a tu empresa?

5 Mins read
Las amenazas de ciberseguridad que enfrentan las empresas son cada vez más sofisticadas y complejas, lo que provoca que la prevención de…
Ciberseguridad

Qué es un CISO y por qué se ha vuelto una figura importante para las empresas

6 Mins read
El aumento de los ciberataques a las empresas ha hecho que la figura del CISO cobre especial relevancia para estas, cada vez…
CiberseguridadTeletrabajo

Cómo mejorar la ciberseguridad en entornos de trabajo híbridos

7 Mins read
Los entornos de trabajos híbridos son prácticamente ya una realidad, en la que el trabajo remoto y presencial se combinan en la…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.