Reconocer el ransomware: en qué se diferencian los troyanos de cifrado

¿Qué es el ransomware?

El ransomware es un tipo de malware (software malintencionado) que utilizan los ciberdelincuentes. Si un ordenador o red se ha infectado con ransomware, el ransomware bloquea el accesoal sistema o cifra sus datos. Los ciberdelincuentes demandan dinero de rescate a sus víctimas a cambio de liberar los datos. Para protegerse contra la infección por ransomware, es recomendable estar siempre alerta y contar con software de seguridad. Las víctimas de este tipo de ataques de malware tienen tres opciones después de una infección: pueden pagar el rescate, intentar eliminar el malware o reiniciar el dispositivo. Entre los vectores de ataque que suelen utilizar con frecuencia los troyanos extorsionadores están el protocolo de escritorio remoto, los correos electrónicos de phishing y las vulnerabilidades de software. Por lo tanto, un ataque de ransomware puede dirigirse tanto a individuos como a empresas.

Cómo identificar el ransomware: se debe hacer una distinción básica

En concreto, hay dos tipos de ransomware muy populares:

• Ransomware de bloqueo. Este tipo de malware bloquea las funciones básicas del ordenador. Por ejemplo, se le puede denegar el acceso al escritorio, mientras que el ratón y el teclado solo están desactivados parcialmente. Esto le permite seguir interactuando con la ventana que contiene la demanda de rescate para que haga el pago. Salvo eso, el ordenador no se puede utilizar. Pero hay buenas noticias: el malware de bloqueo no suele tener como objetivo archivos críticos; generalmente solo quiere bloquearle del equipo. Por lo tanto, es poco probable que se destruyan completamente sus datos.
• Ransomware de cifrado. El objetivo del ransomware de cifrado es cifrar sus datos importantes, como documentos, imágenes y videos, pero sin interferir con las funciones básicas del ordenador. Esto genera pánico porque los usuarios pueden ver sus archivos, pero no pueden acceder a ellos. Los desarrolladores de ransomware de cifrado a menudo añaden una cuenta atrás a su demanda de rescate: «Si no paga el rescate antes de la fecha límite, se eliminarán todos sus archivos». Y dada la cantidad de usuarios que desconocen la necesidad de hacer copias de seguridad en la nube o en dispositivos de almacenamiento físico externos, el ransomware de cifrado puede tener un impacto devastador. En consecuencia, muchas víctimas pagan el rescate simplemente para recuperar los archivos.

Locky, Petya y compañía

Ahora ya sabe qué es el ransomware y los dos tipos principales. Aquí conocerá algunos ejemplos conocidos que le ayudarán a identificar los peligros que plantea el ransomware:

Locky

Locky es un ransomware que fue utilizado por primera vez para un ataque en 2016 por un grupo de hackers organizados. Locky cifró más de 160 tipos de archivos y se difundió a través de correos electrónicos falsos con archivos adjuntos infectados. Los usuarios cayeron en el truco del correo electrónico e instalaron el ransomware en sus equipos. Este método de propagación se denomina phishing, y es una forma de lo que se conoce como «ingeniería social». Locky tiene como objetivo una amplia gama de tipos de archivos que suelen utilizar diseñadores, desarrolladores, ingenieros y evaluadores.

WannaCry

WannaCry fue un ataque de ransomware que se extendió a más de 150 países en 2017. Fue diseñado para explotar una vulnerabilidad de seguridad en Windows que fue creada por la NSA y que el grupo de hackers Shadow Brokers filtró. WannaCry afectó a 230 000 ordenadores en todo el mundo. El ataque afectó a un tercio de todos los hospitales del Servicio Nacional de Salud (NHS) del Reino Unido, y provocó daños estimados en 92 millones de libras. Los usuarios se vieron bloqueados y se les exigió el pago de un rescate en Bitcoin. El ataque expuso el problema de los sistemas obsoletos, porque el hacker aprovechó una vulnerabilidad del sistema operativo para la que ya existía un parche desde mucho tiempo antes del momento del ataque. El daño financiero que causó WannaCry en todo el mundo fue de unos 4000 millones de dólares estadounidenses.

Bad Rabbit

Bad Rabbit fue un ataque de ransomware de 2017 que se propagó a través de los llamados ataques ocultos. Se utilizaron sitios web no seguros para llevar a cabo los ataques. En un ataque oculto de ransomware, un usuario visita un sitio web real, sin saber que este se ha visto comprometido por hackers. En la mayoría de los ataques ocultos, lo único que hace falta es que un usuario acceda a una página que se haya visto comprometida de esta manera. No obstante, en este caso la ejecución de un instalador que contenía el malware camuflado provocó la infección. A esto se le llama instalador («dropper») de malware. Bad Rabbit solicitaba al usuario que ejecutara una instalación falsa de Adobe Flash, con la que infectaba el equipo con malware.

Ryuk

Ryuk es un troyano de cifrado que se propagó en agosto de 2018 y deshabilitó la función de recuperación de los sistemas operativos Windows. Esto hizo imposible restaurar los datos cifrados sin una copia de seguridad externa. Ryuk también cifró las unidades de red. El impacto fue enorme y muchas de las organizaciones estadounidenses que fueron atacadas pagaron los rescates exigidos. Se calcula que el daño total fue de más de 640 000 dólares estadounidenses.

Shade/Troldesh

El ataque de ransomware Shade o Troldesh tuvo lugar en 2015 y se propagó a través de correos electrónicos de spam que contenían enlaces infectados o archivos adjuntos. Curiosamente, los atacantes de Troldesh se comunicaban con sus víctimas directamente por correo electrónico. Las víctimas con las que habían establecido una «buena relación» recibieron descuentos. No obstante, este tipo de comportamiento se trata más de una excepción que de una regla.

Jigsaw

Jigsaw es un ataque de ransomware que comenzó en 2016. El nombre de este ataque proviene de una imagen que mostraba el famoso muñeco de la franquicia de películas de Saw. Por cada hora que pasaba sin que se pagara el rescate, el ransomware Jigsaw eliminaba más archivos. El uso de la imagen de una película de terror provocaba un estrés adicional entre los usuarios.

CryptoLocker

CryptoLocker es un ransomware que apareció por primera vez en 2007 y que se propagó a través de archivos adjuntos de correo electrónico infectados. El ransomware buscaba datos importantes en los equipos infectados y los cifraba. Se calcula que afectó a unos 500 000 ordenadores. Los organismos encargados del orden público y las empresas de seguridad finalmente lograron hacerse con el control de una red mundial de ordenadores domésticos secuestrados que se utilizaron para difundir CryptoLocker. Esto permitió a los organismos y empresas interceptar los datos que se enviaban a través de la red sin que los delincuentes se dieran cuenta. En última instancia, esto resultó en el establecimiento de un portal en línea en el que las víctimas podían obtener una clave para desbloquear sus datos. Esto permitió la liberación de sus datos sin la necesidad de pagar un rescate a los delincuentes.

Petya

Petya (que no debe confundirse con ExPetr) es un ataque de ransomware que se produjo por primera vez en 2016 y que resucitó como GoldenEye en 2017. En lugar de cifrar archivos concretos, este ransomware malicioso cifraba todo el disco duro de la víctima. Esto se lograba cifrando la tabla maestra de archivos (MFT, del inglés «Master File Table»), lo que imposibilitaba el acceso a los archivos del disco duro. El ransomware Petya se propagó a los departamentos de recursos humanos de las empresas a través de una aplicación falsa que contenía un enlace de Dropbox infectado.

Otra variante de Petya es Petya 2.0, que se diferencia en algunos aspectos clave. Pero en lo que respecta a la ejecución del ataque, los dos son igual de letales para el dispositivo.

GoldenEye

La resurrección de Petya como GoldenEye derivó en una infección de ransomware en todo el mundo en 2017. GoldenEye, conocido como el «hermano letal» de WannaCry, alcanzó a más de 2000 objetivos, incluidos importantes productores de petróleo en Rusia y varios bancos. En un giro alarmante de los acontecimientos, GoldenEye obligó al personal de la planta de energía nuclear de Chernobyl a verificar el nivel de radiación de forma manual, debido al bloqueo de sus ordenadores Windows.

GandCrab

GandCrab es un desagradable ransomware que amenazaba con revelar los hábitos pornográficos de sus víctimas. Informaba a la víctima de que había pirateado su cámara web y le exigía un rescate. Si no se pagaba el rescate, se publicaban imágenes vergonzosas de la víctima. Después de su primera aparición en 2018, el ransomware GandCrab siguió desarrollándose en varias versiones. Como parte de la iniciativa «No More Ransom», los proveedores de seguridad y las autoridades policiales desarrollaron una herramienta de descifrado de ransomware para ayudar a las víctimas a recuperar sus datos confidenciales de GandCrab.

B0r0nt0k

B0r0nt0k es un ransomware de cifrado que se centra específicamente en servidores basados en Windows y Linux. Este ransomware dañino cifra los archivos de un servidor Linux y les adjunta la extensión de archivo «.rontok». El malware no solo representa una amenaza para los archivos, sino que también realiza cambios en la configuración de inicio, desactiva funciones y aplicaciones, y añade entradas de registro, archivos y programas.

Ransomware Dharma Brrr

Brrr, el nuevo ransomware de Dharma, lo instalan manualmente hackers que piratean los servicios de escritorio conectados a Internet. En cuanto el hacker activa el ransomware, comienza a cifrar los archivos que encuentra. Los datos cifrados reciben la extensión de archivo «.id-[id].[email].brrr».

Ransomware FAIR RANSOMWARE

FAIR RANSOMWARE es un ransomware que tiene como objetivo cifrar datos. Gracias a un potente algoritmo, cifra todos los documentos y archivos privados de la víctima. A los archivos cifrados con este malware se les añade la extensión de archivo «.FAIR RANSOMWARE».

Ransomware MADO

El ransomware MADO es otro tipo de ransomware de cifrado. Los datos cifrados con este ransomware reciben la extensión «.mado» y dejan de poder abrirse.

Ataques de ransomware

Como ya se ha mencionado, el ransomware encuentra sus objetivos en todos los ámbitos de la vida. Por lo general, el rescate exigido es de entre 100 y 200 dólares estadounidenses. Sin embargo, algunos ataques exigen mucho más, especialmente si el atacante sabe que los datos bloqueados representan una pérdida financiera considerable para la empresa atacada. Por eso, los ciberdelincuentes pueden ganar grandes cantidades de dinero a través de estos métodos. En los dos ejemplos siguientes, la víctima del ciberataque es, o fue, más importante que el tipo de ransomware utilizado.

Ransomware de WordPress

El ransomware de WordPress, como su nombre indica, está dirigido a los archivos de sitios web de WordPress. Se extorsiona a la víctima para obtener un rescate, como es habitual con el ransomware. Cuanto más demandado sea el sitio de WordPress, más probable es que sea atacado por los ciberdelincuentes que utilizan ransomware.

El caso de Wolverine

Wolverine Solutions Group (un proveedor de atención médica) fue víctima de un ataque de ransomware en septiembre de 2018. El malware cifró una gran cantidad de archivos de la empresa, lo que impidió abrirlos a muchos empleados. Afortunadamente, los expertos en ciencia forense pudieron trabajar para descifrarlos y restaurarlos el 3 de octubre. Sin embargo, muchos de los datos de los pacientes se vieron comprometidos en el ataque. Nombres, direcciones, datos médicos y otra información personal podrían haber caído en manos de los ciberdelincuentes.

Ransomware como servicio

El ransomware como servicio ofrece a los ciberdelincuentes con una capacidad técnica baja la oportunidad de llevar a cabo ataques de ransomware. El malware se pone al alcance de los compradores, lo que significa un menor riesgo y una mayor ganancia para los programadores del software.

Conclusión

Los ataques de ransomware tienen muchas apariencias distintas y presentan todas las formas y tamaños. El vector de ataque es un factor importante para los tipos de ransomware utilizados. Para calcular el tamaño y la extensión del ataque, es necesario considerar siempre lo que está en juego o qué datos podrían eliminarse o publicarse. Independientemente del tipo de ransomware, hacer una copia de seguridad de los datos previamente y el manejo adecuado de software de seguridad pueden reducir considerablemente la intensidad de un ataque.