Aunque el ransomware existe como ciberamenaza desde hace más de una década, los ataques de ransomware están protagonizando actualmente una gran cantidad de noticias, especialmente por el tipo de objetivos que se han visto afectados y el daño causado no solo a estos, sino también a los propios ciudadanos, que han sufrido las consecuencias que un ataque de ransomware provoca.
En el blog de Atico34 ya os hemos hablado de diferentes tipos de ransomware, por lo que este artículo lo vamos a dedicar a explicar qué es el ransomware, cómo funciona y cuáles son las características de ransomware.
En este artículo hablamos de:
¿Qué es el ransomware? Definición
Si tuviésemos que dar una definición de ransomware, podríamos definirlo como un tipo de malware que secuestra archivos o el equipo entero, impidiendo al usuario el acceso a los primeros o el uso del segundo. Para poder desbloquearlos, es necesario pagar al cibercriminal un rescate a cambio. Actualmente, este rescate se pide en algún tipo de criptomonedas.
Aunque los ataques más recientes de ransomware y aquellos más sonados han hecho de esta ataque un más conocido entre el público en general, el ransomware se empezó a popularizar en la década de los 2000, aunque el primer uso de este tipo de malware se produjo mucho antes, en 1989; distribuido mediante el troyano AIDS a través de disquetes enviados a las víctimas por correo postal bajo la apariencia de un programa educativo sobre el SIDA.
¿Cómo funciona el ransomware?
Sin entrar en tecnicismos, una vez que el ransomware ha infectado el ordenador o la red de una empresa u organismo público, lo que hace es cifrar varios o todos los archivos, impidiendo así que los usuarios puedan acceder a ellos. Intentar recuperar los archivos por nuestra cuenta es una misión imposible, puesto que necesitaremos la clave de cifrado específica usada, que es precisamente lo que vamos a pagar.
Salta entonces un aviso que nos informa de que somos víctimas de un ransomware y que la única forma de recuperar el control de la información y equipos es pagando el rescate exigido (si la víctima es una empresa, la cuantía exigida será elevada). El aviso incluye las instrucciones de cómo, dónde y en qué criptomoneda realizar el pago del rescate, y un plazo de tiempo para hacerlo, antes de perder los archivos para siempre o que estos sean filtrados.
En ocasiones, el ransomware se infiltra en el equipo o la red y espera un tiempo antes de efectuar el cifrado de archivos. Ese tiempo lo suele emplear en extraer información confidencial, para llevar a cabo un segundo tipo de extorsión aparte del dinero del rescate y que exige a las víctimas una mayor cantidad para evitar que la información robada sea filtrada en la Dark Web.
Eso respecto a cómo funciona el ransomware, pero ¿cómo se puede infectar un equipo? Lo cierto es que existen varias formas, en función del tipo de ransomware que se vaya a desplegar y el malware empleado; algunos de estos métodos de infección ni siquiera requieren de la acción del usuario.
Así, entre los vectores más habituales de infección de ransomware tenemos:
- Mediante phishing, enviando correos fraudulentos que imitan con menor o mayor acierto un correo oficial. Estos correos suelen llevar adjuntos documentos en PDF o Word o Excel que incluyen macros maliciosas. Una vez descargado y abierto el archivo, el ransomware entrará en el equipo.
- Aprovechando vulnerabilidades presentes en software o sistemas operativos, para lo que el cibercriminal crea un exploit cuya función será aprovechar dicho fallo para instalar el malware, como por ejemplo en el ransomware zero day, que aprovecha las conocidas como vulnerabilidad de día cero, presentes en el software desde el lanzamiento y que no han sido parcheadas.
- A través de anuncios maliciosos en páginas web, lo que se conoce como malvertising. Solo hace falta pulsar en el anuncio infectado con el ransomware para abrirle la puerta.
- Mediante descargas drive-by, donde lo único que debemos hacer es entrar un sitio web con ransomware listo para descargarse nada más acceder a él, sin que el usuario tenga que hacer nada. Este tipo de entrada suele aprovechar versiones de navegadores o aplicaciones obsoletas.
- Ataques de fuerza bruta contra RDP (protocolo de escritorio remoto), mediante el cual los trabajadores en remoto se conectan al ordenador de la oficina y la red corporativa. Los equipos que los usuarios tienen en casa suelen estar menos protegidos y si no usan una VPN, las probabilidades de convertirse en un vector de entrada al ransomware son muchas.
- A través de ataques que explotan vulnerabilidades de aplicaciones del servidor o servidores VPN. En este caso estamos ante un tipo de ataque de ransomware mucho más dirigido y ante el que los usuarios nada van a poder hacer.
Tipos de ransomware más utilizados
De la misma forma que existen varios métodos de distribución del ransomware, también existen diferentes tipos de ransomware; algunos han tenido como objetivo a particulares, con extorsiones por cantidades de dinero más o menos asequibles para sus víctimas, pero donde realmente se hacen notorios los ataques de ransomware es cuando sus objetivos son grandes empresas o corporaciones, organismos gubernamentales u organizaciones médicas o educativas, puesto que no solo comprometen a la propia entidad, sino también los servicios que suministran, interrumpiéndolos en muchos casos.
Dentro de este grupo (aunque pueden afectar a cualquier tipo de usuario) encontramos los tipos de ransomware más famosos y utilizados en los últimos años, así como algunos de los tipos de ransomware para 2024 (muchos de estos malware vuelven con nuevas variantes cada cierto tiempo).
Ryuk
Ryuk fue uno de los ransomware más activos durante 2019 y 2020, y uno de los ejemplos de ransomware recurrentes cuando se habla de este tipo de ciberataque. De hecho, en España fue el ransomware que atacó al SEPE y dejó bloqueado parte del servicio público de empleo durante varios días.
Ryuk es una versión modificada del ransomware Hermes, que se dio a conocer en 2018 protagonizando varios ataques desde entonces, como los sufridos por el servicio de agua de Carolina del Norte, por tres hospitales en Alabama o varias organizaciones del sector energético.
Ryuk se despliega utilizando bots como TrickBot y Emotet, que también se dedican a robar información, para luego amenazar con su filtración. Después se ejecuta el ransomware y cifra los archivos.
Sodinokibi
El ransomware Sodinokibi, también conocido como REvil, se detectó por primera vez en Asia en 2019. Este ransomware utiliza funciones lícitas de la CPU para sortear las medidas de seguridad e infectar los equipos.
Es uno de los ransomware con más números de víctimas, responsable de haber afectado a una amplia variedad de sectores empresariales, desde las finanzas, pasando por el consumo y los servicios, hasta la ingeniería. En marzo de 2021 pidieron uno de los rescates más altos de la historia del ransomware, con 50 millones de dólares a Acer.
Una de las particularidades de Sodinokibi es que parece ser un ransomware creado para ofrecerse en «alquiler» a otros usuarios con intenciones cuestionables para su uso.
WannaCry
WannaCry es un malware del tipo troyano detrás de un buen número de ataques de ransomware y considerado uno de los más peligrosos. De hecho, es el responsable de que en 2017 el concepto de ransomware alcanzara de lleno al público en general, puesto que afectó en torno a 200.000 usuarios de aproximadamente 150 países. Entre esos usuarios se incluían grandes empresas e instituciones públicas.
WannaCry aprovechaba una vulnerabilidad de Microsoft llamada EternalBlue en la implantación del protocolo SMB. Los archivos encriptados cambiaban su extensión a .WCRY.
Cryptolocker
Cryptolocker hizo su debut en 2013 y estuvo bastante activo hasta 2014, empleando diferentes versiones. Fue uno de los primeros ransomware en operar a gran escala y derrotarlo implicó los esfuerzos del FBI, la Interpol, varias empresas de seguridad y universidades.
Este ransomware se distribuía a través de archivos adjuntos y correos spam, aprovechando una botnet. Se estima que logró infectar a más de 500.000 equipos. Y aunque actualmente ya no es una amenaza, de él se han derivado otros ransomware basados en su código.
Maze (o ChaCha)
Maze es uno de los ransomware más recientes, puesto que se vio por primera vez en 2019. Además, el grupo detrás de él es uno de los primeros en utilizar la amenaza de la filtración de archivos e información como segundo método de extorsión asociado al ransomware.
A Maze se le atribuyen más de un tercio de los ataques de ransomware desde la fecha en la que se hizo conocido. Estuvo plenamente operativo hasta septiembre de 2020, cuando empezó a disminuir el número de ataques con Maze.
Netwalker (o Mailto)
Netwalker es otro de los ransomware más recientes, siendo responsable de numerosos ataques a empresas de logística, grupos industriales y compañías energéticas, entre otros, a lo largo de 2020.
Netwalker se puso a disposición de otros cibercriminales como un servicio RaaS en la Dark Web, lo que habría contribuido a su dispersión.
En 2021 las fuerzas de seguridad consiguieron poner fin a este ransomware, apoderándose de sus recursos en la Dark Web y deteniendo al supuesto responsable detrás del despliegue de Netwalker.
Conti (o IOCP)
También de aparición reciente y responsable de aproximadamente el 13% de los ataques con ransomware, Conti o IOCP apareció a finales del 2019 y, siguiendo los pasos de Maze, aparte de secuestrar los archivos de las redes o equipos infectados, amenazaba con publicar la información robada.
Sin embargo, Conti se diferencia de los demás, porque los ciberdelincuentes detrás de él ofrecían a la empresa atacada ayuda para solucionar el problema de seguridad y evitar futuros ataques utilizando la misma vía o una similar.
DoppelPaymer
DoppelPaymer es una versión de un ransomware anterior, responsable de incontables ataques en todo el mundo, centrados sobre todo en compañías de electrónica y automóviles, organismos gubernamentales, especialmente sanidad, servicios de emergencia y educación.
DoppelPaymer seguiría aún en activo.
STRRAT, el falso virus de ransomware
El uso del ransomware está tan extendido y el usuario medio es ya bastante consciente de lo que implica este tipo de malware, que hay troyanos que hasta se hacen pasar por ransomware para distraer a sus víctimas con una supuesta encriptación de sus archivos, mientras llevan a cabo otras acciones en el equipo. Es el caso de STRRAT, cuyo verdadero objetivo es crear una puerta trasera en el sistema de la víctima para robarle información.
¿Cómo identificar un ataque ransomware?
Lo cierto es que identificar un ataque de ransomware es muy fácil, porque él mismo se anuncia con la aparición de un mensaje en nuestro ordenador, que nos indica que se nos ha bloqueado el acceso a determinados archivos y cómo y dónde debemos efectuar el pago para desbloquearlos.
Esta es una de las peores características de un ransomware, que no lo detectemos hasta que ya es demasiado tarde. Dependiendo del vector de ataque que emplee el ransomware, este puede, como hemos visto, permanecer oculto en el sistema hasta el momento de ejecutarse. Afortunadamente, hay algunas soluciones de seguridad que pueden ayudarnos a detectar e identificar el ransomware antes de que se convierta en un problema.
¿Cómo prevenir un ataque de ransomware?
Es evidente el problema que supone a nivel nacional e internacional el ransomware, pero, ¿cómo evitarlo? Principalmente siguiendo estos consejos de ciberseguridad:
- Para evitar que el ransomware infecte equipos y redes aprovechando vulnerabilidades y exploits, es necesario mantener todos los programas que usemos y el sistema operativo actualizados siempre a su última versión, porque si hay un problema de seguridad, estos parches se crean, precisamente, para solucionarlos.
- Contar con una solución de seguridad lo más completa posible, como sistemas EDR, que no solo se limiten a tener un antivirus y un firewall, sino a monitorear la red en tiempo real y detectar comportamientos sospechosos.
- Segmentar la red y limitar los privilegios de acceso a los usuarios, de manera que el daño que pueda causarse sea mínimo.
- Formar y sensibilizar a los empleados en materia de ciberseguridad.
- Realizar copias de seguridad periódicas, en la nube y si es posible en equipos no conectados a la red, para que si se sufre un ataque de ransomware, al menos no pierdas completamente todos los archivos que se hayan visto comprometidos.
¿Cómo eliminar un ransomware?
Ahora que ya sabemos qué es y cómo funciona el ransomware, además de cómo prevenirlo, veamos cómo podemos eliminarlo, en caso de que nuestro equipo haya sido infectado.
Aunque pueda tentarte, la solución para eliminar el ransomware no pasa por pagar el rescate. Las fuerzas de seguridad y los expertos recomiendan no pagar nunca por el desbloqueo del equipo o los archivos; primero, porque nada garantiza que después del pago te desbloqueen los archivos, y segundo, tampoco hay garantía de que el ransomware no desaparezca del equipo o la red, quedando latente para lanzar un ataque más adelante.
Una vez que tenemos esto claro, lo primero es desconectar el equipo infectado de la Red, para evitar que reciba instrucciones o siga propagando el malware.
Dependiendo del tipo de ransomware empleado, una vez desconectado y mediante el empleo de una solución de seguridad adecuada, puede ser posible eliminarlo del ordenador. En otras ocasiones, la única solución será el formateo del equipo.
Por otro lado, recuperar los archivos cifrados será una tarea básicamente imposible, por lo que la única forma de garantizar que no se pierda información en este tipo de ataques, es, como dijimos ya, realizar copias de seguridad periódicas.
Estadísticas de ransomware en España en los últimos años
España no se ha librado de esta oleada de ataques de ransomware, como bien atestiguan el sonado ataque al SEPE, el sufrido por el Ayuntamiento de Castellón, el de la Universidad de Castilla-La Mancha, el de Adif o el de Mapfre. Las razones detrás de ellos, el aumento del teletrabajo, la proliferación del ransomware as a service, una formación nula o escasa en ciberseguridad de los empleados y soluciones de seguridad mal gestionadas o configuradas.
El impacto de los ataques de ransomware en España ha sido tal, que el Gobierno aprobó en marzo de 2022 el Plan Nacional de Ciberseguridad.
En un informe realizado por Emisoft puso a España en el tercer país donde más se incrementaron los costes por ataques de ransomware en 2020, sufriendo un incremento del 23,3% respecto a 2019. Si bien, el número de ataques descendió, el coste asociado a ellos aumentó.
De acuerdo a Check Point, el número de ataques de ransomware aunmentó en España en 2020 un 160%, convirtiéndose en uno de los países de la UE donde más aumentó ese tipo de ataques.
Datos algo más recientes nos ofrece el estudio realizado por Sophos, que dice que el 71% de las empresas españolas encuestadas para el estudio, fueron atacadas por ransomware en 2021 (un 27% respecto al 2020).
En definitiva, el ransomware es un auténtico problema de seguridad para empresas y entidades públicas, pero hay formas de protegerse de él a las que podemos recurrir para minimizar sus consecuencias, aun cuando el número de ataques parezca seguir aumentando.