Blog A3Sec

¿Qué es un Ransomware y cómo funciona? protege tu negocio

Escrito por Israel Gutiérrez, Global CTO | 08 septiembre, 2023

El Ransomware es un tipo de software malicioso (malware) que intercepta los archivos del sistema operativo en una computadora o dispositivo móvil, exigiendo un rescate (ransom) a cambio de que se “restauren” los derechos de acceso del sistema operativo

Este malware busca infiltrarse en los equipos sin importar su sistema operativo. Utilizando algoritmos criptográficos, hace que la información sea inaccesible para sus dueños y solicita un rescate en alguna criptomoneda para entregar la llave criptográfica y así obtener acceso a la información.

El Ransomware ha causado estragos en múltiples organizaciones desde 2017. Presenciamos su aparición con las primeras afectaciones de WannaCry. Aunque lleva más tiempo afectando a las organizaciones, su modo de proliferación, utilizando gusanos de autorreplicación, solo se ha manifestado en los últimos 6 años. Durante este periodo, hemos llegado a observar más de 250,000 variantes de este tipo de malware.

 

¿Cómo ataca el virus Ransomware?

El Ransomware tiene varias formas de ataque para infectar sistemas y dispositivos. Algunos de los métodos más comunes incluyen:

  • Correo electrónico de phishing:

Los ciberdelincuentes envían correos electrónicos haciéndose pasar por personas conocidas y engañan a los usuarios para que descarguen archivos adjuntos o hagan clic en enlaces maliciosos. Estas acciones resultan en la descarga e instalación del Ransomware en el sistema.

  • Sitios web maliciosos: 

Los sitios web comprometidos o diseñados específicamente para la distribución de malware pueden aprovechar vulnerabilidades en el navegador o en el sistema para infectar el dispositivo del usuario sin su conocimiento. Por esta razón, es recomendable acceder solo a sitios web seguros y evitar otorgar darle “permitir” a las ventanas emergentes.

  • Descargas de software no seguras: 

La descarga de software desde fuentes no confiables, especialmente aplicaciones pirateadas o software “jailbreak”, conlleva el riesgo de instalar Ransomware en el sistema.

  • Vulnerabilidades de software: 

Algunos tipos de Ransomware pueden aprovechar vulnerabilidades conocidas en el sistema operativo o en aplicaciones instaladas para infiltrarse y propagarse en el dispositivo.

  • Unidades USB y otros medios extraíbles: 

Los dispositivos de almacenamiento extraíbles, como las unidades USB, pueden utilizarse para distribuir Ransomware si ya están infectados y se conectan a otros dispositivos.

  • Ataques a través de la red: 

Los ciberdelincuentes pueden aprovechar debilidades en la configuración de las redes para infiltrarse en los sistemas y propagar Ransomware en las redes informáticas.

 

¿Qué tipos de ransomware existen?

Existen diferentes tipos de Ransomware, cada uno con características y métodos de ataque específicos. Algunos de los tipos más comunes de incluyen:

  • Ransomware de cifrado (Encrypting Ransomware):

Este es el tipo más común de Ransomware y se enfoca en cifrar archivos importantes en el sistema de la víctima. No se puede acceder a los archivos hasta que se paga el rescate y se recibe la clave de descifrado. Ejemplos conocidos de Ransomware criptográfico incluyen WannaCry, CryptoLocker y Locky.

  • Ransomware de bloqueo (Locker Ransomware): 

En lugar de cifrar archivos, este tipo de Ransomware bloquea el acceso a todo el sistema operativo o a algunas funciones importantes. Por ejemplo, puede bloquear la pantalla de inicio de sesión o el escritorio. No se permite el acceso al sistema hasta que se pague el rescate. Ejemplos incluyen WinLocker y Police Locker.

  • Ransomware de rescate (Scareware): 

Este tipo de Ransomware no encripta ni bloquea archivos, pero muestra mensajes aterradores y falsos para engañar a los usuarios haciéndoles creer que su computadora ha sido comprometida. Luego pide pagar un rescate para solucionar el "problema". De hecho, no hay una infección real. Es una táctica de ingeniería social para asustar a los usuarios y hacerles ganar dinero fácil.

  • Ransomware de filtración (Leakware o Doxware): 

Además de cifrar archivos, este tipo de Ransomware también amenaza con filtrar información confidencial o sensible si no se paga el rescate. En lugar de simplemente bloquear o cifrar los datos, los atacantes chantajean a las víctimas amenazándolas con hacer pública su información privada. Esto crea un elemento adicional de presión para pagar el rescate.

  • Ransomware MaaS (Ransomware como servicio): 

No es un Ransomware en sí mismo, sino un modelo de negocio utilizado por algunos ciberdelincuentes. En este enfoque, los atacantes desarrollan y entregan Ransomware como un servicio a otros delincuentes. Estos "clientes" pueden usarlo para llevar a cabo sus propios ataques, y el desarrollador del Ransomware a menudo recibe una parte del rescate pagado.

Cabe señalar que los ciberdelincuentes evolucionan constantemente y desarrollan nuevas variantes de Ransomware. Por lo tanto, esta lista no es exhaustiva y puede haber nuevos tipos y variaciones en el futuro. La mejor manera de protegerse del Ransomware es mantener su software actualizado, utilizar soluciones de seguridad confiables y estar alerta ante posibles amenazas en línea. 

 

¿Cómo puedo eliminar un Ransomware?

La eliminación de Ransomware de un sistema infectado puede ser un proceso complejo, ya que el a menudo está diseñado para evitar su eliminación y mantener su presencia en el sistema. 

Estos son algunos pasos que puede seguir para intentar eliminar el Ransomware. Sin embargo, es importante tener en cuenta que requieren habilidades informáticas y de seguridad avanzadas, y en algunos casos puede ser necesario buscar la ayuda de un experto en seguridad cibernética:

  • Aislamiento del sistema:

Desconectar el dispositivo infectado de la red y apáguelo para evitar que se propague a otros dispositivos o servidores.

  • Realiza una evaluación de la situación:

Identificar el tipo de Ransomware con el que está tratando. Esto puede ayudar a encontrar herramientas o soluciones específicas para eliminar este tipo particular de Ransomware.

  • Hacer una copia de seguridad:

Antes de intentar cualquier procedimiento de eliminación, haga una copia de seguridad de sus archivos importantes en un dispositivo externo o en la nube. 

  • Usar herramientas de eliminación de Ransomware:

Algunas organizaciones de seguridad y compañías de antivirus desarrollan herramientas específicas para eliminar ciertos tipos de Ransomware. Averigüe si hay herramientas confiables disponibles para su sistema y utilícese bajo la guía de expertos en seguridad.

  • Modo seguro:

Reinicie el sistema en modo seguro para descargar procesos y servicios innecesarios que podrían estar obstaculizando el proceso de eliminación.

  • Actualizar Antivirus y Antimalware:

Asegúrese de tener un software antivirus y antimalware actualizado. Realice un análisis completo del sistema para detectar y eliminar posibles componentes del Ransomware. 

  • Análisis manuales:

Si tiene experiencia y conocimientos informáticos avanzados, puede intentar escanear manualmente su sistema en busca de archivos y entradas de registro relacionadas con Ransomware.

  • Recuperación del sistema:

Si el sistema ha establecido puntos de restauración y el Ransomware no los ha eliminado, puede intentar restaurar el sistema a un estado anterior a la infección.

Es importante tener en cuenta que, en algunos casos, la eliminación completa del Ransomware puede no ser posible o puede causar más daño al sistema. En tales situaciones, la mejor opción podría ser formatear y reinstalar el sistema operativo desde cero, asegurándose de restaurar los archivos importantes desde una copia de seguridad confiable.

 

¿Por qué el Ransomware es peligroso para las empresas?

Las empresas continúan buscando formas e implementando controles para contrarrestar, en cierta medida, los impactos negativos de este malware.

Esta variante de malware ha sido un punto de inflexión para los delincuentes y las empresas, ya que ha permitido la capitalización de manera inédita. Las criptomonedas y el Ransomware han permitido que los ciberdelincuentes obtengan ganancias económicas de forma anónima, resaltando la tangibilidad de los beneficios económicos de la delincuencia.

La ciberdelincuencia siempre ha tenido como uno de sus principales motivadores la parte económica y existen muchas formas de generar impactos, sin embargo, el Ransomware logró que los pagos se dieran de una forma más rápida y efectiva.

Han ido evolucionando estos ataques donde, en caso de no pagar, los delincuentes amenazan con publicar la información que se han robado, por lo que se vuelve un doble amago. Nunca tienes la certeza de que no publicarán tu información o que te darán la llave para obtener el acceso a la misma. Se corren muchos riesgos al ser víctima de estos impactos.

En muchas ocasiones, las empresas, al verse presionadas por esta situación, han acordado el pago del rescate y su información es devuelta, lo que ha hecho rentable esta actividad. Lamentablemente, también existen casos donde, aunque paguen, la información es destruida o expuesta y solamente han sido víctimas del robo y estafa por el dinero que la empresa pagó.

Tanto la rentabilidad de la actividad como el riesgo de no obtener acceso son factores por los que no se recomienda el pago del rescate en caso de ser víctima de un Ransomware.

 

¿Cómo prevenir un ataque de Ransomware y reaccionar para evitar ser víctima de este virus?

empezamos por la prevención, debemos entender que la información que obtienen los ciberdelincuentes puede ser variada y debemos entender si no queremos que la obtengan.

En caso de que la obtengan y destruyan, ¿podré recuperarla de alguna forma? Por lo tanto, debemos considerar los respaldos. Dónde se encuentra la información, la estamos clasificando y protegiendo para que nadie acceda a ella. Surgen muchas preguntas, como:

¿Mis respaldos son válidos? ¿Se realizan pruebas regularmente para asegurarse de que mi información esté intacta?

¿Las políticas y los procesos de respaldo están validados? Veamos este punto como una estrategia para reducir el impacto que debe considerarse en la fase de prevención.

Así, prevenimos que el impacto sea mayor al tener control y gobierno de nuestros respaldos.

¡Ahora bien, lo que queremos es evitar que ocurra en primer lugar!

 

¿Qué podemos hacer?

¿Contamos con sistemas de protección del endpoint que puedan identificar comportamientos de cifrado? Tener este tipo protección es una forma de prevenir que esto ocurra.

Muchas plataformas antimalware están incorporando esta tecnología. Contar con una que sea efectiva para reducir el impacto, como @crowdstrike, se convierte en un elemento crucial.

Ahora, tenemos un inventario congruente que nos permite identificar:

  • Versión de Software
  • Tipo
  • Dueño
  • Riesgo

Tener esta información nos ayudará a comprender las posibles vías de impacto y a reaccionar con mayor rapidez.

¡Control! Nuestros usuarios son administradores de sus equipos o tienen privilegios de administración.

Es preferible contar con sistemas que controlen la identidad y los accesos de los usuarios, permitiéndoles solo realizar acciones acordes a sus privilegios. En este sentido, la tecnología con la metodología Zero Trust es una excelente opción. @Zscaler, por ejemplo, brinda esta solución de manera eficaz.

Acciones de prevención:

  • Inventario y Control.
  • Aseguramiento del Endpoint.
  • Protección de identidad y Acciones Zero Trust.

Respaldos: la información no siempre habita en los equipos de los usuarios o servidores locales. También utilizamos nubes y sistemas de centralización de datos, por lo que es crucial proteger el acceso y disponer de respaldos para esta información.

En algunos casos, los sistemas de respaldo también han sido impactados. Por lo tanto, es vital evitar la ejecución de comandos dentro de los respaldos y verificar la integridad de la información en movimiento y en reposo.

Dentro de la estrategia de seguridad, la prevención es una de las fases. Para fortalecer aún más nuestra estrategia de seguridad digital, debemos considerar las siguientes etapas: detección y respuesta. Es esencial detectar a tiempo cuando ocurre un incidente o cuando existen indicadores de amenaza que sugieran la posibilidad de un ataque.

Todas las fases de una amenaza o incidente son identificables. Podemos detectar intentos de infección por Ransomware en nuestra organización y detenerlos antes de que causen daños. Debemos tener la capacidad de reaccionar en las primeras etapas antes de que sea demasiado tarde.

Aunque los controles que hemos implementado son efectivos para detener muchas acciones de ciberdelincuentes, es crucial reconocer que, en caso de fallar o no estar ubicados correctamente, los delincuentes solo necesitan un punto débil para lograr el éxito. Desde el lado de la seguridad, es imperativo proteger cada punto. Si se presenta un incidente, existen indicadores de comportamiento, como:

  • Cambios en los permisos de usuarios.
  • Accesos de usuarios desde ubicaciones “no usuales”.
  • Comunicaciones de movimiento de información o grandes volúmenes de datos o de forma continua hacia el exterior, una misma cantidad por largos periodos de tiempo.
  • Modificaciones en el disco duro.
  • Creación de nuevos servicios y comunicaciones externas de dichos servicios.

Estos son algunos indicadores de compromiso. Cuando se agrega inteligencia, podremos determinar con mayor certeza si estamos presenciando un ataque en curso y, por ende, reaccionar.

En la fase de detección, es importante considerar la capacidad de observar el comportamiento y los eventos en nuestra infraestructura. Poner controles no es suficiente; observar lo que ocurre y cómo interactúan con esos controles es parte integral de la estrategia de seguridad digital. Lograr una buena visibilidad es la parte más crucial.

Si nuestra organización está llena de controles, estos pueden convertirse en islas de información o silos que operan de manera independiente. No obtenemos la imagen completa, el "big picture". ¿Cómo logramos visibilidad? A través de una estrategia de centralización de información y correlación. 

Cuando hablo de estrategias, me refiero a que no se trata sólo de implementar un SIEM o instalar un Event Correlation. Necesitamos entender para qué lo queremos, qué objetivos cumplirá, qué información se enviará y con qué propósito. De esta manera, tendremos claro qué tipo de SIEM vamos a usar o cuál SIEM contratar. Considerar su estrategia de seguridad le llevará a definir su enfoque de recolección y correlación de información.

En algunos casos, nos limitamos a decir que es para cumplimiento o para seguridad. Sin embargo, esta afirmación es solo la punta del iceberg. Tener una estrategia de seguridad respaldada por la capacidad de correlación significa pensar en qué deseamos detectar, cuáles son los casos de seguridad que queremos identificar. 

Aunque esta sea solo una primera etapa, posteriormente podemos evolucionar hacia modelos de comportamiento y detección de anomalías. Debemos comenzar por lo que conocemos o creemos conocer.

 

¿Qué proceso de negocio estoy protegiendo?

Pensemos en el proceso como punto de partida. Luego, determinemos qué tecnología está involucrada, qué procesos y qué personas participan. Ahora que contamos con estos elementos, procedemos a recopilar datos: datos de la infraestructura, datos de los usuarios involucrados y, dentro del proceso, identifiquemos qué fuentes generan información que puede ser recopilada.

Ahora, si ya hemos elaborado un plan de recolección de información que tiene como objetivo la correlación, obtendremos como resultado una serie de alertas básicas.

Ninguna herramienta aborda este enfoque; actualmente, no existe una tecnología que defina esto. Aquí es donde los dueños de los procesos, el personal de la organización, los especialistas en seguridad de la información y los expertos en ciberseguridad desempeñan un papel crucial. En este punto, vemos el éxito o el fracaso de una implementación tecnológica.

¿Cuántas implementaciones de SIEM han fracasado en las organizaciones? Creo que esto está estrechamente relacionado con la alineación estratégica de los objetivos que persigue la tecnología y si contamos con los elementos necesarios para lograr el éxito.

Hagamos un pequeño wrap up de todo esto. El Ransomware es un malware de alto impacto empresarial que se ha propagado gracias a los beneficios económicos que los ciberdelincuentes obtienen al atacar a las empresas. Las formas de infección son variadas, por lo que una estrategia orientada a la prevención, detección, respuesta y control es de suma importancia. 

No basta con instalar software por el simple hecho de hacerlo; debemos considerar a las personas, los procesos y el negocio. La tecnología debe funcionar en relación con estos elementos para mantener la eficacia en nuestras metas y garantizar la seguridad de las personas.