Ataque De ransomware: ¿Cuáles Son Los Peores De Todos Los Tiempos?

El ransomware ha sido una amenaza que se cierne sobre empresas e individuos desde mediados de la década 2000.

En 2017, el Internet Crime Complaint Center (IC3) del FBI recibió 1.783 denuncias de ransomware que costaron a las víctimas más de 2,3 millones de dólares.

Sin embargo, estas quejas sólo representan ataques denunciados a IC3.

El número real de ataques y costos de ransomware es mucho mayor: sólo el año pasado se produjeron alrededor de 184 millones de ataques de ransomware.

numero de ataque de ransomware en el mundo helpransomware

El ransomware estaba originalmente destinado a las personas, y  en la actualidad, estos ataques siguen siendo la mayoría.

En este artículo, veremos la historia del ransomware desde su primer ataque documentado en 1989 hasta la actualidad.

Te mostraremos en detalle algunos de los ataques y variantes de ransomware más importantes.

Finalmente, veremos la evolución futura y las soluciones de ransomware.

¿Qué es el ransomware?

Entender qué es el ransomware es muy sencillo: estamos hablando de malware o software malicioso que se apodera de archivos o sistemas y bloquea el acceso a los usuarios.

Luego, todos los archivos, o incluso dispositivos completos, se mantienen como rehenes, mediante encriptación, hasta que la víctima paga un rescate a cambio de la clave de desencriptación.

Varios tipos de ransomware se han desarrollado durante décadas, y sus variantes se han vuelto cada vez más avanzadas en su capacidad de propagarse, evadir la detección, cifrar archivos y obligar a los usuarios a pagar el rescate.

el ransomware de la nuova era helpransomware

Esto significa, en pocas palabras, que los ataques de ransomware se han vuelto más peligrosos y dañinos para las víctimas.

Cómo funcionan los ataques de ransomware

Ahora que tenemos una definición de ransomware, pasemos a una descripción más detallada de cómo estos programas maliciosos obtienen acceso a los archivos y sistemas de una empresa.

El término «ransomware» describe la función del software, que es extorsionar a los usuarios o empresas con fines de lucro.

Sin embargo, el programa debe acceder a los archivos o al sistema que mantendrá como rehén, y este acceso ocurre a través de infecciones o vectores de ataque.

Técnicamente, un vector de ataque o infección es el medio gracias al cual el ransomware obtiene acceso.

causas mas comunes de ransomware helpransomware

Los tipos de vectores incluyen:

  • Archivos adjuntos de correo electrónico: un método comúnmente utilizado para engañar a los usuarios es el que implica insertar un archivo adjunto malicioso dentro de un correo electrónico disfrazado de urgente.
  • Mensajes: incluye tanto los sistemas de mensajería instantánea como los chats relacionados con las redes sociales. Uno de los canales más importantes utilizados en este enfoque es, de hecho, Facebook Messenger.
  • Pop-up: los pop-up se crean para imitar el software en uso en el dispositivo de la víctima, de modo que la víctima se sienta cómoda siguiendo las instrucciones que, finalmente, dañará al usuario.

El primer ataque de ransomware

Aunque el ransomware ha mantenido su preeminencia como una de las principales amenazas desde 2005, los primeros ataques se produjeron mucho antes.

Según Becker’s Hospital Review, el primer ataque de ransomware conocido ocurrió en 1989 y se dirigió a la industria de la salud.

Treinta años después, el sector sanitario sigue siendo un objetivo importante de los ataques de ransomware.

El primer ataque fue lanzado en 1989 por Joseph Popp, un investigador del SIDA, quien inició el ataque distribuyendo 20.000 disquetes a otros investigadores del SIDA en más de 90 países, alegando que los discos contenían un programa que analizaba, a través de un cuestionario, el riesgo para una persona que contrae el SIDA.

aids helpransomware

En realidad, el disco contenía también un programa de malware que se activó solo después de que la computadora se encendiera 90 veces.

Después de alcanzar la marca de 90, el malware mostró un mensaje solicitando un pago de $189 y otros $378 por el alquiler del software.

Este ataque de ransomware se conoció como AIDS Trojan o PC Cyborg.

La evolución del ransomware

Obviamente, este primer ataque de ransomware fue, para ser cortés, rudimentario y los informes indican que tenía fallas.

No obstante, puso las bases para la evolución del ransomware en los sofisticados ataques que tienen lugar en la actualidad.

Según Fast Company, los primeros desarrolladores de ransomware solían escribir su propio código de cifrado.

Los atacantes de hoy, por otro lado, confían cada vez más en «bibliotecas listas para usar que son significativamente más difíciles de descifrar» y están aprovechando métodos de entrega más sofisticados, como campañas de spear-phishing, en lugar de los correos electrónicos tradicionales de phishing, más fáciles a contrastar con los filtros anti-spam de hoy.

Además, algunos atacantes más sofisticados están desarrollando toolkit que pueden ser descargados e implementados por atacantes con menos habilidades técnicas.

Mientras tanto, algunos de los ciberdelincuentes más avanzados están monetizando ransomware ofreciendo programas de ransomware-as-a-service, lo que ha llevado al crecimiento de ransomware bien conocido como Cryptolocker, CryptoWall, Locky y TeslaCrypt.

Estos son algunos ejemplos de los tipos más comunes de malware avanzado.

CryptoWall solo ha generado más de $320 millones en ingresos.

Después del primer ataque de ransomware documentado en 1989, este tipo de crimen cibernético siguió siendo raro hasta mediados de la década 2000, cuando los ataques comenzaron a utilizar algoritmos de cifrado más sofisticados y más difíciles de descifrar, como el cifrado RSA.

Los más populares durante este tiempo fueron Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip y MayArchive.

En 2011, surgió un worm ransomware que imitaba la advertencia de activación del producto de Windows, lo que dificultaba a los usuarios distinguir entre notificaciones genuinas y amenazas.

procentaje de distribution de variantes de ransomware 2014-2015 helpransomware

SecureList de Kaspersky informa que desde abril de 2014 hasta marzo de 2015, las amenazas de ransomware más prominentes fueron CryptoWall, Cryakl, Scatter, Mor, CTB-Locker, TorrentLocker, Fury, Lortok, Aura y Shade.

«Juntos pudieron atacar a 101.568 usuarios en todo el mundo, lo que representa el 77,48% de todos los usuarios atacados con cripto-ransomware durante el período del informe», dice el informe.

En solo un año, el panorama ha cambiado significativamente.

Según la investigación de Kaspersky 2015-2016, “TeslaCrypt, junto con CTB-Locker, Scatter y Cryakl fueron los responsables de los ataques, en comparación con el 79,21% de los que encontraron cripto-ransomware”.

Los mayores ataques de ransomware y las variantes más importantes

Dado el progreso del ransomware, no sorprende que los mayores ataques de ransomware hayan ocurrido en los últimos años.

Paralelamente, también aumentaron las demandas de rescate.

Los informes indican que, a mediados de la década de 2000, las aplicaciones promediaban alrededor de $300, mientras que hoy están cerca de $500.

Por lo general, existe una fecha límite para el rescate después de la cual la nota de rescate se duplica o ya no es posible acceder a los archivos porque están destruidos o bloqueados permanentemente.

CryptoLocker fue una de las cepas de ransomware más rentables de su tiempo: entre septiembre y diciembre de 2013, infectó más de 250.000 sistemas, ganando más de $3 millones antes de ser eliminado en 2014 a través de una operación internacional.

Posteriormente se analizó su modelo de encriptación y ahora se encuentra disponible una herramienta en línea para recuperar archivos encriptados comprometidos por CryptoLocker.

Infortunadamente, la desaparición de CryptoLocker solo condujo a la aparición de varias variantes de ransomware de imitación, incluidos los clones comúnmente conocidos de CryptoWall y TorrentLocker.

El propio Gameover ZeuS resurgió en 2014 «en forma de una campaña evolucionada que envía mensajes de spam maliciosos».

Desde entonces, ha habido un aumento constante en el número de variantes y ataques, siendo los objetivos principales los de alto nivel en los sectores bancario, sanitario y gubernamental.

Desde abril de 2014 hasta principios de 2016, CryptoWall estuvo entre las variedades de ransomware más utilizadas, con varias variantes dirigidas a cientos de miles de personas y empresas.

A mediados de 2015, CryptoWall había extorsionado a más de $18 millones a las víctimas, lo que llevó al FBI a emitir una advertencia para advertir a los usuarios de la amenaza.

En 2015, una variedad de ransomware conocido como TeslaCrypt o Alpha Crypt afectó a 163 víctimas, lo que les dio a los atacantes $76,522.

TeslaCrypt solía solicitar canjes en Bitcoin, aunque en algunos casos se utilizaron tarjetas PayPal o My Cash, con montos que iban desde los $150 hasta los $1,000.

También en 2015, un grupo conocido como Armada Collective llevó a cabo una serie de ataques a bancos griegos.

Los atacantes exigieron un rescate de 20.000 bitcoins (7 millones de euros) a cada banco, pero en lugar de pagarlo, los bancos aumentaron sus defensas y así evitaron otras interrupciones del servicio, a pesar de los intentos posteriores de Armada.

Para los ataques a corporaciones más grandes, se estima que los rescates alcancen los 50.000 dólares, aunque un ataque de ransomware el año pasado contra un sistema hospitalario de Los Ángeles, el Hollywood Presbyterian Medical Center (HPMC), habría exigido un rescate de 3,4 millones de dólares.

El ataque obligó al hospital a regresar a la era anterior a las TI, bloqueando el acceso a la red corporativa, el correo electrónico y los datos críticos de los pacientes durante diez días.

De hecho, el HPMC indicó que los informes iniciales de una nota de rescate de $3.4 millones fueron inexactos y que el hospital pagó los $17,000 requeridos (o 40 Bitcoins en ese momento) para restaurar las operaciones de manera rápida y eficiente.

Un poco más de una semana después, el Departamento de Servicios de Salud del distrito de Los Ángeles fue infectado con un programa que bloqueó el acceso de la organización a sus datos; sin embargo, la agencia logró aislar los dispositivos infectados y no pagó el rescate.

En marzo de 2016, Ottawa Hospital fue atacado con ransomware que afectaba a más de 9,800 máquinas, pero el hospital respondió borrando las unidades: gracias a diligentes procesos de copia de seguridad y restauración, el hospital pudo vencer a los atacantes en su propio juego y evitar pagar el rescate.

En el mismo mes, varios otros hospitales de California fueron atacados por un ransomware rebautizado como Locky (así dicho por la extensión Locky que se aplicaba a los archivos cifrados), pero ninguno de ellos pagó el rescate.

Marzo de 2016 también vio la aparición de la variante de ransomware Petya.

Petya es un ransomware avanzado que cifra la tabla de file master de una computadora y reemplaza el registro de inicio maestro con una nota de rescate, dejando la computadora inutilizable a menos que se pague el rescate.

En mayo, evolucionó aún más para incluir capacidades de cifrado de archivos directo.

Petya también fue una de las primeras variantes de ransomware que se incluyeron como parte de una operación de ransomware-as-a-service.

En un artículo de mayo de 2016, ZDNet informó: “Según los hallazgos de los investigadores de Kaspersky Lab, las tres principales familias de ransomware durante el primer trimestre del año fueron: Teslacrypt (58,4%), CTB-Locker (23, 5%) y Cryptowall ( 3,4%). Los tres infectan principalmente a través de correos electrónicos no deseados con archivos adjuntos maliciosos o enlaces a páginas web infectadas ”.

A mediados de 2016, Locky había solidificado su lugar como una de las variedades de ransomware más utilizadas, y la investigación de PhishMe informó que el uso de Locky había superado a CryptoWall ya en febrero de 2016.

Durante el Black Friday (25 de noviembre) de 2016, la Agencia de Transporte Municipal de San Francisco fue víctima de un ataque de ransomware que interrumpió los sistemas de administración de boletos de tren y autobuses.

Los atacantes exigieron un enorme rescate de 100 Bitcoin (equivalente a casi $73,000 en ese momento), pero gracias a la respuesta rápida y los procesos de respaldo completos, SFMTA pudo restaurar sus sistemas en dos días.

A pesar de no tener que pagar el rescate, la compañía tuvo que asumir los costos de los boletos no vendidos, ya que los pasajeros pudieron viajar sin pagar tarifas durante el período de dos días que los sistemas estuvieron inactivos.

Se ipotiza que el ransomware utilizado en el ataque fue Mamba o HDDCryptor.

En 2016, también surgió una de las primeras variantes de ransomware dirigida a Apple OS X.

KeRanger afectó principalmente a los usuarios que usaban la aplicación Transmission, pero afectó a unas 6.500 computadoras en un día y medio, después de lo cual se eliminó rápidamente.

Como puedes ver, 2016 fue un gran año para los ataques de ransomware, y los informes de principios de 2017 estimaron que el ransomware recompensaba a los ciberdelincuentes por un total de mil millones de dólares.

El futuro del ransomware

Estos incidentes están catapultando al ransomware a una nueva era, en la que los ciberdelincuentes pueden replicar fácilmente ataques a pequeña escala mientras apuntan a empresas mucho más grandes a las que exigir grandes rescates.

Si bien algunas víctimas pueden mitigar los ataques y restaurar sus archivos o sistemas sin pagar un rescate, incluso un pequeño porcentaje de los ataques es suficiente para generar ingresos e incentivos sustanciales para los ciberdelincuentes.

Como hemos dicho varias veces en nuestros artículos, es importante reiterar también aquí que pagar el rescate no te garantiza el acceso a tus archivos.

La mejor solución es eliminar el ransomware y descifrar los archivos sin ceder al chantaje.

Una encuesta de Datto encontró que en una cuarta parte de los incidentes en los que se pagó un rescate, los atacantes evitaron desbloquear los datos de las víctimas.

Por cierto, las operaciones de ransomware continúan encontrando formas más creativas de monetizar sus esfuerzos, como fue el caso del ransomware Petya y Cerber que fueron pioneros en los esquemas de ransomware como servicio.

El potencial de ganancias de los autores de ransomware es lo que impulsa la innovación rápida y la competencia feroz entre los ciberdelincuentes.

El ransomware PetrWrap, por ejemplo, se creó utilizando código descifrado de Petya.

Para las víctimas, saber de dónde viene el código no importa: ya sea que hayan sido infectados con Petya o PetrWrap, el resultado final es el mismo, sus archivos están encriptados con un algoritmo tan poderoso que actualmente no existen herramientas de descifrado de ransomware.

¿Cuáles son las perspectivas del ransomware?

Un nuevo informe del Centro Nacional de Seguridad Cibernética (NCSC) y la Agencia Nacional del Crimen (NCA) del Reino Unido advierte sobre el desarrollo de amenazas como el ransomware-as-a-service y el ransomware móvil.

El ritmo al que está creciendo IoT, combinado con la inseguridad ampliamente conocida de los dispositivos de IoT, proporciona una frontera completamente nueva para los operadores de ransomware.

Las mejores prácticas para la protección contra ransomware, como las copias de seguridad periódicas y las actualizaciones de software, no se aplican a la mayoría de los dispositivos conectados, y muchos proveedores de IoT son lentos o simplemente descuidados cuando se trata de lanzar parches de software.

Ahora, a medida que las empresas dependen cada vez más de los dispositivos IoT para realizar operaciones, podría haber un aumento en los ataques de ransomware en este tipo de dispositivos.

Las infraestructuras críticas representan otro objetivo preocupante para futuros ataques de ransomware: el director de la oficina de gestión del rendimiento empresarial del DHS, Neil Jenkins, advirtió en la conferencia RSA de 2017 que los servicios de agua e infraestructura similar podrían ser objetivos atractivos para los atacantes.

Jenkins se refirió a un ataque de ransomware de enero de 2017 que deshabilitó temporalmente componentes del sistema de acceso con tarjeta electrónica de un hotel austriaco como un posible predecesor de ataques de infraestructura más importantes en el futuro.

Cómo protegerse de los ataques de ransomware

Hay pasos que los usuarios finales y las empresas pueden tomar para reducir significativamente el riesgo de ser víctimas de ransomware.

best practice help ransomware

Aquí hay cuatro prácticas de seguridad básicas que cualquier empresa debe seguir:

  1. Realizar copias de seguridad verificadas y frecuentes: La copia de seguridad de todos los archivos y sistemas es una de las defensas más poderosas contra el ransomware. Todos los datos se pueden restaurar a un punto de guardado anterior. Los archivos deben verificarse para asegurarse de que los datos estén completos y sin daños.
  2. Actualizaciones estructuradas y periódicas: la mayoría de software utilizados por las empresas son actualizados periódicamente por el creador del software. Estas actualizaciones pueden incluir parches para hacer que el software sea más seguro frente a amenazas conocidas. Cada empresa debe designar a un empleado para actualizar el software, pero entre menos personas estén involucradas en la actualización del sistema, menos vectores de ataque potenciales habrá para los delincuentes.
  3. Restricciones razonables: Se deben aplicar ciertas restricciones a quienes:
  • Trabajan con dispositivos que contienen archivos, documentos y / o programas de la empresa;
  • Usan dispositivos conectados a redes corporativas que podrían volverse vulnerables;
  • Son terceros o trabajadores temporales.
  1. Monitoreo adecuado de credenciales: cualquier empleado, contratista y persona a quien se le otorgue acceso a los sistemas crea un punto potencial de falla para el ransomware. Reemplazar o no actualizar las contraseñas y las restricciones inadecuadas pueden conducir a mayores posibilidades de ataque.

Si bien estas prácticas son bastante conocidas, muchas personas no realizan copias de seguridad de sus datos de forma regular y algunas empresas solo lo hacen dentro de sus propias redes, lo que significa que todas las copias de seguridad pueden verse comprometidas por un solo ataque de ransomware.

La defensa eficaz contra el ransomware depende en gran medida de una educación adecuada.

Los usuarios y las empresas deben tomarse el tiempo para conocer las mejores opciones para la copia de seguridad automática de datos y las actualizaciones de software.

Educar a los empleados sobre los signos reveladores de las tácticas de distribución de ransomware, como los ataques de phishing, las descargas no autorizadas y los sitios web falsificados, debería ser una prioridad para cualquiera que utilice un dispositivo en la actualidad.

Las empresas deben también implementar soluciones de seguridad que permitan una protección avanzada contra amenazas.

En cualquier caso, si has sido atacado por ransomware, no te desesperes, evita el bricolaje y contacta con especialistas cualificados como los de HelpRansomware, que podrán solucionar tu problema con las mejores soluciones.

Deja un comentario