DestacadoSeguridad Informática

Ransomware: Por qué es una amenaza grave para la ciberseguridad

Con las alertas levantadas respecto a las amenazas de ransomware en Latinoamérica, explicamos cómo funciona y por qué deberíamos preocuparnos.

Todo encargado de TI está medianamente preparado para el desastre. Entre tanto software malicioso, malware y amenazas informáticas, tratamos de estar preparados para lo peor. Sin embargo, hay una ansiedad mucho más grande –y que ha ido creciendo en los últimos años– y es ser vulnerado por un desastre de marca mayor: un ataque de ransomware.

Debido a varios casos recientes en Chile y Argentina –en especial el ocurrido a Banco Estado- el miedo está más vivo que nunca. Y no es menor: historias como las del ransomare Wannacry en Telefónica nos hacen pensar en el desastre. ¿Habré parchado todos mis equipos Windows con la última actualización? ¿Existirá un zero-day del que no me he informado? ¿Hicimos copias de seguridad de todos los archivos importantes?

Lo cierto es que deberíamos estar en alerta permanente. Según los datos del informe DBIR de Verizon, el ransomware es un peligro que aumenta cada año, y está entre las tres amenazas informáticas más grandes en el mundo entero. En Latinoamérica no estamos ajenos a esa tendencia, y es muy probable que debamos pensar en cómo cuidarnos de este tipo de software malicioso, y por qué es importante.

Qué es el Ransomware

El ransomware es un grave tipo de malware que puede afectar a diversos equipos informáticos. En síntesis, un ataque de ransomware encripta los archivos de tu equipo de manera maliciosa, con el objetivo de solicitar un rescate por ellos. Usualmente, esa extorsión se paga con criptomonedas, tales como el Bitcoin, Monero o Ethereum.

Como bien sabemos, la encriptación es un proceso en el cual los archivos son protegidos con una clave de cifrado para evitar su acceso a través de ciberataques. Es decir, usada de buena manera, la encriptación es un proceso positivo de seguridad informática.

Sin embargo, este tipo de cifrado malicioso es equivalente a que un ladrón te deje afuera de tu propia casa, cambie la cerradura y te pida rescate por la llave. 

Con la vulnerabilidad correcta, el ransomware es capaz de llegar a nuestros equipos usando una multitud de formas. Adjunto en un correo electrónico, unido a un documento de Microsoft Word o Excel, en esas fotos de las vacaciones que abriste en el equipo de la oficina o incluso en ese juego que te prohibieron descargar. Como casi todo tipo de malware, sólo es necesario un agujero en la pared que nuestro TI no haya parchado, y el potencial para el daño ya será enorme.

A aquello debemos agregar que el ransomware es más complejo que sólo encriptación. Por ejemplo, muchos ataques de este estilo utilizan técnicas afines a troyanos u otro tipo de malware. Un ejemplo son las técnicas de persistencia, como búsqueda de puertos abiertos en la red privada o replicación a través de correos electrónicos, para infectar otras máquinas en la organización. En la misma línea, utilizan técnicas de ofuscación para no ser detectados al principio, y desencadenar un ataque masivo con graves consecuencias.

Tipos de Ransomware comunes

Si bien la mayoría de los ataques tienen en común las condiciones anteriormente descritas, existen muchos métodos comunes o familias de ransomware. Estos ataques, similares a las cepas de enfermedades virales, comparten métodos de entrada, creadores o víctimas comunes. Entre los más destacados están:

Bad Rabbit

Conocido en Europa del Este y en Rusia, este ransomware se hace pasar por una actualización falsa de Flash que proviene de un sitio malicioso. Luego de su instalación, procede a encriptar el equipo y solicitar 0,5 BTC para el desbloqueo.

Cerber

Los reyes del RaaS o “ransomware como servicio”, una de las nuevas variantes de ransomware. Cerber ofrece afiliarse a su plataforma e implementar su malware donde tú quieras, quedándose con el 40% del rescate. Utiliza un poderoso cifrado RSA, por lo que si eres víctima, prepárate para pagar el rescate.

CryptoLocker

Considerado por muchos como el padre y modelo de todo el ransomware actual. CryptoLocker comenzó a propagarse a través de una poderosa botnet durante el año 2013, y si bien dicha botnet fue desactivada –y sus autores tras las rejas– CryptoLocker ha inspirado a muchísimos clones, como TorrentLocker.

Petya – NotPetya – GoldenEye

La familia de ransomware Petya tiene una larga historia. No solo su encriptación es poderosa, sino que tienen un componente extra: impidiendo el arranque de Windows. Petya y sus parientes cercanos, NotPetya y GoldenEye, se almacenan en el MBR o registro de arranque maestro del disco duro, encriptando la tabla maestra de archivos (MFT). Esto les da una ventaja: sin modo seguro ni pudiendo iniciar el sistema operativo, el usuario pierde el control total de la máquina.

El caso de NotPetya es especial. En el año 2017, un año después del descubrimiento del Petya original, un grupo aparentemente apoyado por la GRU realizó un ciberataque mundial masivo usando dicho ransomware. El país más afectado fue Ucrania, ya que NotPetya había sido modificado no para solicitar rescate, sino para volverse irreversible. Hasta el día de hoy, NotPetya es considerado el ransomware más destructivo del mundo.

Como trivia, tanto “Petya” como “GoldenEye” son referencias a James Bond.

Jigsaw

Hablando de cultura popular, Jigsaw es un tipo especial de ransomware. Aparte de la referencia literal a las películas de “Saw: El Juego del Miedo” (al usar al muñeco Billy como imagen), Jigsaw va borrando progresivamente tus archivos a medida que pasa el tiempo. Si la victima, no ha pagado el rescate antes de las 72 horas de comenzada la infección del ransomware, se borran todos sus archivos.

Sodinokibi – Revil

Otro ransomware como servicio (Raas) relativamente reciente y denominado “el principe coronado del ransomware” por expertos en seguridad. Se aprovecha de dos vulnerabilidades en equipos Windows, entrando a las máquinas a través de archivos descargados por scripts Javascript maliciosos.

Se cree que Sodinokibi es el causante de la interrupción de servicio en Banco Estado en Chile y en el servicio aduanero de Argentina.

Spider

Un tipo de ransomware muy extendido en Europa. Se propaga a través de correos electrónicos basura, escondido en documentos de Microsoft Word, que contienen software malicioso dentro de los macros. En cuanto dichos macros del documento se ejecutan, el ransomware se instala.

Caso de estudio: Wannacry, Telefónica en 2017

Un caso altamente mediático fue el ocurrido a Telefónica España el año 2017. El día 12 de mayo de ese año, y mientras Chema Alonso –white-hat hacker, ex-jefe de seguridad y actual CDCO de Telefónica– se encontraba de vacaciones, ocurrió lo peor. Las máquinas de gran parte de la empresa sucumbieron, una por una, a una pantalla roja y gris solicitando rescate. El “secuestro virtual” de Telefónica, con un claro culpable: Wannacry.

Este malware, que se presume habría nacido de las mentes del Grupo Lazarus (Lazarus Group) en Corea del Norte, se aprovechó de un exploit o vulnerabilidad llamada EternalBlue. Dicha vulnerabilidad afectaba al protocolo SMB (Server Message Block) en equipos Windows, y había sido descubierta por la NSA, nunca reportada, y luego nuevamente descubierta por Microsoft dos meses antes del ataque.

Asimismo, Wannacry contenía una herramienta de backdoor llamada DoublePulsar, la que le daba la posibilidad de instalarse y luego replicarse en otros equipos en la red igual de vulnerables. Es así como al encender dichas máquinas Wannacry podía instalarse sin problemas, solicitando cifras cercanas a los 200 BTC, lo que equivale actualmente a más de dos millones de dólares.

Wannacry golpeó a todo el mundo en una escala sin precedentes. Según cifras de Europol, más de doscientas mil máquinas fueron afectadas en más de 150 países. Sin embargo, el golpe a Telefónica causó un impacto profundo al otro lado del Atlántico, ya que la empresa española tiene una serie de subsidiarias en Latinoamérica, las que también vieron interrumpidos sus servicios durante días. El caso puso la palabra “ransomware” en el acervo de ciberseguridad latinoamericano, y con justa razón.

Las consecuencias de un ataque de Ransomware

Un ataque de Ransomware trae consigo una multitud de problemas, muchos de ellos compartidos con el resto de las vulnerabilidades conocidas. Sin embargo, la magnitud y gravedad de los ataques es especialmente dañina para ciertos sectores de nuestras organizaciones.

  1. Interrumpe la continuidad del negocio. Un ataque de ransomware inutiliza de manera inmediata a un número determinado de equipos. Asimismo, al tratar de contener el accionar de los ciberdelincuentes la respuesta lógica es apagar el resto de los equipos, lo que debilita aún más la continuidad de trabajo y negocio de cualquier organización.
  2. Puede significar una pérdida económica importante. En gran parte de los casos, las empresas que se ven envueltas en ataques de ransomware suelen ceder ante la presión y pagar los rescates solicitados por los criminales. Al mismo tiempo, el proceso de recuperación puede ser complicado, y la reparación y/o contratación de especialistas es costosa.
  3. Archivos clave del negocio pueden perderse. De no lograr recuperar satisfactoriamente los archivos cifrados, o al sufrir el ataque de un ransomware peligroso e irreversible, es posible perder dichos archivos sin solución.
  4. Disminuye la confianza en la organización. Ser vulnerado suele ser indicativo de una falla en los procesos de seguridad, por lo que todo ataque informático trae como consecuencia desconfianza a nivel externo e interno. Esto se hace extensivo a los usuarios de nuestras plataformas, potenciales clientes que ven con malos ojos una intrusión, e incluso a nuestros propios empleados.
  5. Puede ser la puerta de entrada para otro tipo de ataques. Cuando los cibercriminales encuentran una puerta abierta, el ransomware no es lo único que implementan. De hecho, muchas herramientas de este estilo son complejas y pueden abrir el camino a ataques de fuerza bruta con datos obtenidos de phishing, el compromiso de otros equipos en la red o más malware.

Cómo prevenir un ataque de Ransomware

Con pasos estrictos pero sencillos, es posible mitigar en gran parte el riesgo de un ataque de ransomware en nuestra organización.

Mantener los equipos y sistemas operativos actualizados

El consejo más importante de todos. Las actualizaciones periódicas son imprescindibles en un mundo tecnológico cada vez más veloz. Asimismo, estar atento a los parches de software o a las vulnerabilidades críticas en aplicaciones de infraestructura permite tener la vara alta en caso de intrusión.

Filtrar, analizar o prohibir los archivos adjuntos

El correo electrónico es un vector de ataque importante. Debido a aquello, se hace cada vez más preciso educar sobre lo peligroso de abrir archivos de orígenes desconocidos, pues pueden contener malware.

También es una obligación instalar sistemas de filtrado o de análisis de archivos adjuntos, complementarios a las soluciones antimalware que ya puedas tener instalada.

Crear y mantener sistemas de persistencia o copias de seguridad

Si tus archivos están seguros en un lugar no infectado por el ransomware, los cibercriminales pierden toda ventaja sobre ti. Sólo asegúrate de no dejar vulnerables dichas copias de seguridad.

No pagar el rescate al ser atacado

El objetivo principal detrás de los ataques de ransomware es monetario. Al pagar, le entregas ventaja al hacker y lo instas a delinquir nuevamente, sin contar con la dificultad de conseguir criptomonedas para financiar el rescate. Además, existen muchas herramientas –basadas en ransomware exitoso– que ayudan en el proceso de descrifrado de manera totalmente gratuita.

Si por otro lado el ataque es muy complejo, es una mejor idea asesorarse por una empresa de respuesta en tiempo real a ataques de ransomware. Estas empresas son capaces de negociar y pagar directamente a los atacantes, mientras buscan una solución que no impacte en la continuidad del negocio.

brecha de datos
Sobre el autor

Norman Gutiérrez

Norman Gutiérrez is our Security Researcher at Prey, one of the leading companies in the security and mobility industry, with more than 8 million users worldwide. In addition to this, Norm is Prey's Content and Communication Specialist, and our Infosec ambassador. Norm has worked for several tech media outlets such as FayerWayer and Publimetro, among others. In his free time, Norman enjoys videogames, cool gadgets, music, and fun board games.